那些遇到过的问题

相关疑难解决方法(0)

如何使用位于具有不可导出私钥的智能卡上的证书创建 SSL 上下文?

我正在尝试使用请求库连接到需要提供客户端证书的服务器。我可以获得证书,但不能获得私钥。

我能够从智能卡中提取证书(使用加密库加载通过 pkcs11 访问的 x509 证书),并且我能够以请求期望的 PEM 格式序列化这些证书。pkcs11 还提供对卡上私钥的访问;我可以使用它们来执行签名或解密等操作。但是,由于它们被标记为不可导出(这是有道理的,毕竟它们是私钥),因此我无法将它们序列化为文件以在创建 SSL 上下文时提供。

我已经看到用 Java 编写的这个问题的解决方案,其中访问卡上的密钥库/密钥管理器,并且密钥以这种方式与上下文相关联,但我还没有找到一种在 Python 中这样做的方法。

编辑:这是在 Windows 机器上完成的。我也尝试过使用 M2Crypto 库,但是我无法成功安装该库(即使使用 M2CryptoWin64)。

import pkcs11
from pkcs11.constants import ObjectClass
from pkcs11.mechanisms import KeyType, Mechanism
from cryptography import x509
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives.serialization import Encoding

lib = pkcs11.lib("path/to/pkcs11/dll")
slots = lib.get_slots(token_present=True)
token = slots[0].get_token()
with token.open(rw=True, user_pin="1234") as session:
    attrs = {
        pkcs11.Attribute.CLASS: ObjectClass.CERTIFICATE
    }
    certs = tuple(session.get_objects(attrs))
    x509cert = x509.load_der_x509_certificate(certs[0][pkcs11.Attribute.VALUE], default_backend())
    with open("cert_file", 'wb') as certfile:
        certfile.write(x509cert.public_bytes(Encoding.PEM))

     r = …
Run Code Online (Sandbox Code Playgroud)

authentication ssl smartcard python-3.x

Jon*_*one
2019 08-02
7
推荐指数
0
解决办法
563
查看次数

使用PKCS#11在Python中提供SSL连接

我必须在基于Linux的固件上为嵌入式系统组件实现基于Python的Web服务器:

class WebServer(http.server.HTTPServer)
...
...
Run Code Online (Sandbox Code Playgroud)

要启用ssl连接,将在服务器中通过以下方式创建ssl上下文:

self.ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
self.ssl_context.load_cert_chain(certfile=cert, keyfile=key)
self.ssl_context.verify_mode = ssl.CERT_REQUIRED
self.ssl_context.load_verify_locations(verifyCert)
Run Code Online (Sandbox Code Playgroud)

注意:cert是证书的文件路径,keyfile是私钥的路径。

根据请求,将调用get_request方法:

def get_request(self):
    request = self.socket.accept()
    if self.ssl_context:
        req_socket, addr = request
        connstream = self.ssl_context.wrap_socket(req_socket, server_side=True)
        return connstream, addr
    else:
        return request
Run Code Online (Sandbox Code Playgroud)

wrap_socket方法用于将原始套接字包装到ssl套接字中,而将其返回。这就是提供ssl连接的全部。

现在的问题是:

该解决方案是第一个实施方案,并不安全。我们被迫使用给定的硬件安全模块(HSM)创建和存储证书和私钥。任何私钥都是完全隐藏的,永远不会离开模块。所有密码原语必须直接在模块内执行。HSM的接口是PKCS#11,为此存在供应商提供的动态中间件库。

如何在python下使用ssl上下文设置模块而不是原始ssl?我已经知道,ssl基于openSSL,为此存在PKCS#11引擎(libarary opensc-pkcs11.so)。供应商的中间件提供了PKCS#11 API。

不幸的是,我没有计划如何将PKCS#11引擎集成到python的ssl / openSSL中,以及如何将所有东西捆绑在一起。甚至有可能透明地使用PKCS#11代替本机实现,如果是,如何从python激活它?而且,由于它们不再作为普通文件可用,我将如何传递参数“ certfile”和“ keyfile”?实际上,我无法直接访问私钥。HSM中只有用于操作对象的基于URL的对象引用。

PyKCS11可以代替ssl吗?

我只需要知道解决此类问题的基本路径即可。我可以自己找到所有详细信息。

python sockets ssl pkcs#11

mic*_*ael
lucky-day
6
推荐指数
1
解决办法
514
查看次数

标签 统计

ssl ×2

authentication ×1

pkcs#11 ×1

python ×1

python-3.x ×1

smartcard ×1

sockets ×1