Python3 ssl 库可以使用 IP 地址,而不是证书中的主机名吗?
假设我尝试连接到服务器:
ip = '192.168.0.99'
context = ssl.create_default_context(cafile='ca.crt')
with socket.create_connection((ip, 443)) as sock:
with context.wrap_socket(sock, server_hostname=ip) as ssock:
print(ssock.version())
当我运行它时,我收到一个错误:
SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056)
IP 地址 192.168.0.99 也写入证书公用名和使用者 Alt 名称。
$ openssl x509 -in san.crt -noout -text | grep -B 1 192.168.0.99
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = RU, ST = MSK, O = Internet Widgits Pty Ltd, OU = example, CN = 192.168.0.99
--
Not After : Jul 4 21:31:32 2030 GMT
Subject: C = RU, ST = MSK, O = Internet Widgits Pty Ltd, OU = example, CN = 192.168.0.99
--
X509v3 Subject Alternative Name:
IP Address:192.168.0.99
SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] 证书验证失败: 无法获取本地颁发者证书 (_ssl.c:1056(
该错误不是关于主机名与证书不匹配,而是关于无法找到证书的本地受信任颁发者。
context = ssl.create_default_context(cafile='ca.crt')
我假设您的意图是ca.crt是san.crt的发行人。但是根据您从证书中显示的内容,它看起来像是自签名证书(主题和颁发者相同(,而不是由ca.crt签名。