Як отримати запити Python для довіри до власного підписаного сертифіката SSL?

import requests
data = {'foo':'bar'}
url = 'https://foo.com/bar'
r = requests.post(url, data=data)

Якщо URL використовує самопідписаний сертифікат, це не вдається виконати

requests.exceptions.SSLError: [Errno 1] _ssl.c:507: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Я знаю, що можу перейти Falseдо verifyпараметра, наприклад:

r = requests.post(url, data=data, verify=False)

Однак, що я хотів би зробити, це спрямувати запити на копію відкритого ключа на диску та сказати йому довіряти цьому сертифікату.

спробуйте:

r = requests.post(url, data=data, verify='/path/to/public_key.pem')

За допомогою verifyпараметра ви можете надати спеціальний комплект центру сертифікації

requests.get(url, verify=path_to_bundle_file)

З документів :

Ви можете передати verifyшлях до файлу CA_BUNDLE із сертифікатами надійних центрів сертифікації. Цей список надійних центрів сертифікації також можна вказати через змінну середовища REQUESTS_CA_BUNDLE.

Найпростіше експортувати змінну, REQUESTS_CA_BUNDLEяка вказує на ваш приватний центр сертифікації, або на певний пакет сертифікатів. У командному рядку ви можете зробити це наступним чином:

export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem
python script.py

Якщо у вас є центр сертифікації, і ви не хочете вводити exportкожен раз, ви можете додати його REQUESTS_CA_BUNDLEдо свого ~/.bash_profileнаступним чином:

echo "export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem" >> ~/.bash_profile ; source ~/.bash_profile

Випадок, коли потрібні кілька сертифікатів, був вирішений наступним чином: об’єднати у файл кілька кореневих файлів pem, myCert-A-Root.pem та myCert-B-Root.pem. Потім встановіть запити REQUESTS_CA_BUNDLE до цього файлу в моєму ./.bash_profile.

$ cp myCert-A-Root.pem ca_roots.pem
$ cat myCert-B-Root.pem >> ca_roots.pem
$ echo "export REQUESTS_CA_BUNDLE=~/PATH_TO/CA_CHAIN/ca_roots.pem" >> ~/.bash_profile ; source ~/.bash_profile

Налаштування export SSL_CERT_FILE=/path/file.crtмає зробити роботу.

Якщо хтось випадково приземлиться тут (як я), бажаючи додати CA (у моєму випадку Charles Proxy) для httplib2, схоже, ви можете додати його до cacerts.txtфайлу, що входить до пакета python.

Наприклад:

cat ~/Desktop/charles-ssl-proxying-certificate.pem >> /usr/local/google-cloud-sdk/lib/third_party/httplib2/cacerts.txt

Змінні середовища, на які посилаються інші рішення, здається, специфічні для запитів і не були підібрані httplib2 під час мого тестування.

Ви можете спробувати:

settings = s.merge_environment_settings(prepped.url, None, None, None, None)

Детальніше ви можете прочитати тут: http://docs.python-requests.org/en/master/user/advanced/