Як додати власний кореневий сертифікат CA до магазину CA, який використовується pip у Windows?

Question 1

Я щойно встановив Python3 з python.org і маю проблеми з установкою пакетів pip. За задумом, тут в мережі є пристрій перевірки пакетів "людина посередині", який перевіряє всі пакети (включаючи ssl), звільнивши всі з'єднання ssl за власним сертифікатом. Частина об’єкта групової політики надсилає спеціальний кореневий сертифікат до сховища ключів Windows.

При використанні Java, якщо мені потрібен доступ до будь-яких зовнішніх сайтів https, мені потрібно вручну оновити cacerts у JVM, щоб довірити сертифікат самопідписаного ЦС.

Як це зробити для python? Зараз, коли я намагаюся встановити пакунки pip, зрозуміло, я отримую чудові [SSL: CERTIFICATE_VERIFY_FAILED]помилки.

Я розумію, що можу ігнорувати їх, використовуючи --trusted-hostпараметр, але я не хочу робити це для кожного пакета, який я намагаюся встановити.

Чи є спосіб оновити сховище сертифікатів CA, яке використовує python?

Question 2

Самопідписані органи сертифікації `pip`/`conda`

Після детального документування подібної проблеми з Git ( Як я можу змусити git прийняти самопідписаний сертифікат? ), Ось ми знову за корпоративним брандмауером із проксі-сервером, який дає нам атаку MitM, якій слід довіряти, та:

НІКОЛИ не відключайте всі перевірки SSL!

Це створює погану культуру безпеки. Не будь такою людиною.

tl; д-р

pip config set global.cert path/to/ca-bundle.crt
pip config list
conda config --set ssl_verify path/to/ca-bundle.crt
conda config --show ssl_verify

# Bonus while we are here...
git config --global http.sslVerify true
git config --global http.sslCAInfo path/to/ca-bundle.crt

Але де ми беремо ca-bundle.crt?

Отримайте сучасний комплект CA

cURL публікує витяг Центру сертифікації, що входить до складу Mozilla Firefox

https://curl.haxx.se/docs/caextract.html

Я рекомендую вам відкрити цей cacert.pemфайл у текстовому редакторі, оскільки нам потрібно буде додати наш самопідписаний ЦС до цього файлу.

Сертифікати - це документ, що відповідає стандарту X.509, але їх можна закодувати на диск кількома способами. Стаття нижче добре читається, але коротка версія полягає в тому, що ми маємо справу з кодуванням base64, яке в розширеннях файлів часто називають PEM. Ви побачите, що він має формат:

----BEGIN CERTIFICATE----
....
base64 encoded binary data
....
----END CERTIFICATE----

https://support.ssl.com/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how-to-convert-them

Отримання нашого самопідписаного сертифіката

Нижче наведено кілька варіантів того, як отримати наш самопідписаний сертифікат:

Через OpenSSL CLI
Через браузер
Через сценарії Python

Отримайте наш самопідписаний сертифікат від OpenSSL CLI

/unix/451207/how-to-trust-self-signed-certificate-in-curl-command-line/468360#468360

echo quit | openssl s_client -showcerts -servername "curl.haxx.se" -connect curl.haxx.se:443 > cacert.pem

Отримайте наш самопідписаний орган сертифікації через браузер

Придбання вашого центру сертифікації: https://stackoverflow.com/a/50486128/622276
- http://blog.majcica.com/2016/12/27/installing-self-signed-certificates-into-git-cert-store/

Завдяки цій відповіді та пов’язаному блогу він показує кроки (у Windows), як переглянути сертифікат, а потім скопіювати у файл, використовуючи опцію кодування PEM base64.

Скопіюйте вміст цього експортованого файлу та вставте його в кінець cacerts.pemфайлу.

Для послідовності перейменуйте цей файл cacerts.pem-> ca-bundle.crtі розмістіть його десь легко, наприклад:

# Windows
%USERPROFILE%\certs\ca-bundle.crt

# or *nix
$HOME/certs/cabundle.crt

Отримайте наш самопідписаний центр сертифікації через Python

Дякую за всі блискучі відповіді у:

Як отримати відповідь SSL-сертифікат із запитів у python?

Я зібрав наступне, щоб спробувати зробити крок далі.

https://github.com/neozenith/get-ca-py

Нарешті

Встановіть конфігурацію в pip і conda, щоб вона знала, де знаходиться цей магазин ЦС, з нашим додатковим самопідписаним ЦС.

pip config set global.cert %USERPROFILE%\certs\ca-bundle.crt
conda config --set ssl_verify %USERPROFILE%\certs\ca-bundle.crt

АБО

pip config set global.cert $HOME/certs/ca-bundle.crt
conda config --set ssl_verify $HOME/certs/ca-bundle.crt

ТОДІ

pip config list
conda config --show ssl_verify

# Hot tip: use -v to show where your pip config file is...
pip config list -v
# Example output for macOS and homebrew installed python
For variant 'global', will try loading '/Library/Application Support/pip/pip.conf'
For variant 'user', will try loading '/Users/jpeak/.pip/pip.conf'
For variant 'user', will try loading '/Users/jpeak/.config/pip/pip.conf'
For variant 'site', will try loading '/usr/local/Cellar/python/3.7.4/Frameworks/Python.framework/Versions/3.7/pip.conf'

Список літератури

Pip SSL: https://pip.pypa.io/en/stable/user_guide/#configuration
Конда SSL: https://stackoverflow.com/a/35804869/622276
Придбання вашого центру сертифікації: https://stackoverflow.com/a/50486128/622276
- http://blog.majcica.com/2016/12/27/installing-self-signed-certificates-into-git-cert-store/
Використання Python для автоматичного захоплення Peer CA: Як отримати SSL-сертифікат відповіді на запити в python?

Question 3

Виконати: python -c "import ssl; print(ssl.get_default_verify_paths())"перевірити поточні шляхи, які використовуються для перевірки сертифіката. Додайте до одного із них кореневий сертифікат вашої компанії.

Шлях openssl_capath_envвказує на змінну оточення: SSL_CERT_DIR.

Якщо SSL_CERT_DIRйого не існує, вам потрібно буде створити його та направити на дійсну папку у вашій файловій системі. Потім ви можете додати свій сертифікат до цієї папки, щоб використовувати його.

Question 4

Не найкраща відповідь, але ви можете використати вже створений набір ca, використовуючи, наприклад, --certопцію pip:

pip install SQLAlchemy==1.1.15 --cert="C:\Users\myUser\certificates\my_ca-bundle.crt"

Question 5

У Windows я вирішив це, створивши файл pip.ini у% APPDATA% \ pip \

наприклад C: \ Users \ asmith \ AppData \ Roaming \ pip \ pip.ini

У pip.ini я помістив шлях до свого сертифіката:

[global]
cert=C:\Users\asmith\SSL\teco-ca.crt

https://pip.pypa.io/en/stable/user_guide/#configuration містить додаткову інформацію про файл конфігурації.

Question 6

Альтернативним рішенням для Windows є встановлення python-certifi-win32, що дозволить Python використовувати сховище сертифікатів Windows.

pip install python-certifi-win32

Question 7

Я думаю, що рішення nt86 є найбільш підходящим, оскільки воно використовує базову інфраструктуру Windows (сховище сертифікатів). Але це не пояснює, як встановити python-certifi-win32 для початку, оскільки pip не працює.

Фокус полягає у використанні --trustedhostдля встановлення python-certifi-win32, а потім після цього pip автоматично використовуватиме сховище сертифікатів Windows для завантаження сертифіката, який використовується проксі-сервером.

Отже, у двох словах, ви повинні зробити:

pip install python-certifi-win32 -trustedhost pypi.org

і після цього вам слід добре піти

Question 8

Відкрийте Anaconda Navigator.

Перейдіть у меню Файл \ Налаштування.

Увімкнути перевірку SSL Вимкнути (не рекомендується)

або Увімкнути та вказати шлях до сертифіката SSL (Необов’язково)

Оновіть пакет до певної версії:

Виберіть Встановити вгорі праворуч

Виберіть пакет, клацніть на галочку

Позначити для оновлення

Позначте для встановлення конкретної версії

Клацніть Застосувати