我有两个证书,一个root.crt和一个client.crt签署的证书root.key.
我想在终端上使用openssl 验证client.crt确实已经签名了root.key,我喜欢这样:
$ openssl verify -CAfile root.crt client.crt
> client.crt: OK
但是当使用pyOpenSSL时,遵循文档和这篇博文,我尝试过这样的事情:
client_cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, file('client.crt').read())
root_cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, file('root.crt').read())
store = OpenSSL.crypto.X509Store()
store.add_cert(root_cert)
ctx = OpenSSL.crypto.X509StoreContext(store, client_cert)
ctx.verify_certificate()
但后来我得到了这个错误:
X509StoreContextError:[2,1,'无法获得颁发者证书']
那我错过了什么?
问题是我的root.crt不是真正的根,而是证书链:
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
并且OpenSSL.crypto.load_certificate只加载第一个。
解决方案是提取链文件中的所有证书并将它们添加到X509Store.
代码解决方案如下所示:
_PEM_RE = re.compile(b'-----BEGIN CERTIFICATE-----\r?.+?\r?-----END CERTIFICATE-----\r?\n?', re.DOTALL)
def parse_chain(chain):
# returns a list of certificates
return [c.group() for c in _PEM_RE.finditer(chain)]
client_cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, file('server.crt').read())
store = OpenSSL.crypto.X509Store()
for cert in parse_chain(file('root.crt').read()):
store.add_cert(OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, cert))
ctx = OpenSSL.crypto.X509StoreContext(store, client_cert)
ctx.verify_certificate()
改编自https://github.com/hynek/pem/blob/master/src/pem/_core.py#L115