我必须在基于Linux的固件上为嵌入式系统组件实现基于Python的Web服务器:
class WebServer(http.server.HTTPServer)
...
...
启用 ssl Connections SSL上下文是由
在服务器中创建的self.ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
self.ssl_context.load_cert_chain(certfile=cert, keyfile=key)
self.ssl_context.verify_mode = ssl.CERT_REQUIRED
self.ssl_context.load_verify_locations(verifyCert)
注意:cert是证书的文件路径,密钥文件是通往私钥的路径。
根据请求,方法get_request称为:
def get_request(self):
request = self.socket.accept()
if self.ssl_context:
req_socket, addr = request
connstream = self.ssl_context.wrap_socket(req_socket, server_side=True)
return connstream, addr
else:
return request
wrap_socket方法用于将原始套接字包装到SSL套接字中,该套接字将返回。这就是提供SSL连接的全部。
现在问题:
该解决方案是第一个实现,不安全。我们不得不使用给定的硬件安全模块(HSM)创建和存储证书和私钥。任何私钥都是完全隐藏的,永远不会离开模块。所有加密原始图都必须在模块中直接执行。HSM的接口是PKCS#11,为其提供了动态中间软件库。
如何将模块而不是原始SSL用于Python下的SSL上下文的设置?我已经知道,SSL基于OpenSSL,其中PKCS#11引擎存在(libarary opensc-pkcs11.so)。供应商的中间件提供了PKCS#11 API。
不幸的是,我没有计划如何将PKCS#11引擎集成到Python的SSL/OpenSSL中,以及如何将所有事物绑在一起。甚至可以透明地使用PKCS#11而不是本机实现吗?如果是,我该如何从Python中激活它?此外,我将如何通过参数" certfile"one_answers" keyfile",因为两者都不再作为普通文件可用?实际上,我无法直接访问私钥;仅基于URL的引用用于在其上操作的HSM中的对象。
Pykcs11可以是解决方案,而不是SSL?
我只需要知道解决此类问题的基本途径。我可以自己找到所有细节。
不建议使用Python在Web服务器中进行此tls。最好使用Nginx或Apache进行操作。他们支持PKCS#11 SSL上下文,并且很快就可以协商SSL,因为它们是在C。
中写的。恢复:
- 留在python方面的HTTP(不安全)
- 安装nginx或apache
- 为https配置它:
- 使用PKCS#11 SSL CERT/KEY(PKCS#11 URI到您的HSM)
- 将其反向代理到您的http(不安全)Python Weberver。