mic*_*ael 6 python sockets ssl pkcs#11
我必须在基于Linux的固件上为嵌入式系统组件实现基于Python的Web服务器:
class WebServer(http.server.HTTPServer)
...
...
要启用ssl连接,将在服务器中通过以下方式创建ssl上下文:
self.ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
self.ssl_context.load_cert_chain(certfile=cert, keyfile=key)
self.ssl_context.verify_mode = ssl.CERT_REQUIRED
self.ssl_context.load_verify_locations(verifyCert)
注意:cert是证书的文件路径,keyfile是私钥的路径。
根据请求,将调用get_request方法:
def get_request(self):
request = self.socket.accept()
if self.ssl_context:
req_socket, addr = request
connstream = self.ssl_context.wrap_socket(req_socket, server_side=True)
return connstream, addr
else:
return request
wrap_socket方法用于将原始套接字包装到ssl套接字中,而将其返回。这就是提供ssl连接的全部。
现在的问题是:
该解决方案是第一个实施方案,并不安全。我们被迫使用给定的硬件安全模块(HSM)创建和存储证书和私钥。任何私钥都是完全隐藏的,永远不会离开模块。所有密码原语必须直接在模块内执行。HSM的接口是PKCS#11,为此存在供应商提供的动态中间件库。
如何在python下使用ssl上下文设置模块而不是原始ssl?我已经知道,ssl基于openSSL,为此存在PKCS#11引擎(libarary opensc-pkcs11.so)。供应商的中间件提供了PKCS#11 API。
不幸的是,我没有计划如何将PKCS#11引擎集成到python的ssl / openSSL中,以及如何将所有东西捆绑在一起。甚至有可能透明地使用PKCS#11代替本机实现,如果是,如何从python激活它?而且,由于它们不再作为普通文件可用,我将如何传递参数“ certfile”和“ keyfile”?实际上,我无法直接访问私钥。HSM中只有用于操作对象的基于URL的对象引用。
PyKCS11可以代替ssl吗?
我只需要知道解决此类问题的基本路径即可。我可以自己找到所有详细信息。
不建议使用 Python 在 Web 服务器中执行此 TLS 操作。最好使用 nginx 或 apache 来完成。它们支持 pkcs#11 SSL 上下文,并且可以快速协商 SSL,因为它们是用 C 编写的。
所以恢复:
| 归档时间: |
|
| 查看次数: |
514 次 |
| 最近记录: |