De la mousse sur https avec cert

J'ai savon service sous Apache avec ssl, la mousse œuvres greate sans ssl.

J'ai un certificat client (mon.le crt et l'utilisateur.fichiers p12).

Comment je dois configurer la mousse client ot le faire fonctionner avec le service du protocole https?

sans certs je vois

urllib2.URLError: <urlopen erreur [Errno 1] _ssl.c:499: erreur:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alerte poignée de main échec>
  • Il semble que c'est en s'appuyant sur urllib2, qui ne supporte pas de telles options. Notez que urllib2 n'a même pas vérifier le certificat du serveur (voir la documentation), dont vous auriez vraiment besoin de faire si vous êtes sérieux au sujet de l'utilisation de HTTPS.
  • yep, mais je peux créer mon propre moyen de transport sur la base d'autres bibliothèque python, qui va utiliser un certificat client. Quelle bibliothèque vous recommandons plutôt de urllib2?
  • Il y a une discussion ici: stackoverflow.com/questions/6167148/... et stackoverflow.com/questions/1087227/...
InformationsquelleAutor Andrey Koltsov | 2011-06-08
  1. 37

    Il semble que vous voulez authentifier à l'aide d'un client certificat, pas un serveur certificat comme cela a été dit dans certains commentaires. J'ai eu le même problème et a réussi à écrire un transport personnalisé pour de la MOUSSE. Voici le code qui fonctionne pour moi.

    Vous aurez besoin de votre certificat au format PEM pour que cela fonctionne; OpenSSL pouvez facilement effectuer cette conversion, mais je ne me souviens plus de la syntaxe exacte.

    import urllib2, httplib, socket
from suds.client import Client
from suds.transport.http import HttpTransport, Reply, TransportError
class HTTPSClientAuthHandler(urllib2.HTTPSHandler):
def __init__(self, key, cert):
urllib2.HTTPSHandler.__init__(self)
self.key = key
self.cert = cert
def https_open(self, req):
#Rather than pass in a reference to a connection class, we pass in
# a reference to a function which, for all intents and purposes,
# will behave as a constructor
return self.do_open(self.getConnection, req)
def getConnection(self, host, timeout=300):
return httplib.HTTPSConnection(host,
key_file=self.key,
cert_file=self.cert)
class HTTPSClientCertTransport(HttpTransport):
def __init__(self, key, cert, *args, **kwargs):
HttpTransport.__init__(self, *args, **kwargs)
self.key = key
self.cert = cert
def u2open(self, u2request):
"""
Open a connection.
@param u2request: A urllib2 request.
@type u2request: urllib2.Requet.
@return: The opened file-like urllib2 object.
@rtype: fp
"""
tm = self.options.timeout
url = urllib2.build_opener(HTTPSClientAuthHandler(self.key, self.cert))
if self.u2ver() < 2.6:
socket.setdefaulttimeout(tm)
return url.open(u2request)
else:
return url.open(u2request, timeout=tm)
# These lines enable debug logging; remove them once everything works.
import logging
logging.basicConfig(level=logging.INFO)
logging.getLogger('suds.client').setLevel(logging.DEBUG)
logging.getLogger('suds.transport').setLevel(logging.DEBUG)
c = Client('https://YOUR_URL_HERE',
transport = HTTPSClientCertTransport('PRIVATE_KEY.pem',
'CERTIFICATE_CHAIN.pem'))
print c
    • excellente réponse. ce serait un bon exemple pour l'utilisation de certificats client. besoin d'y être dans les SUDS à docs. 🙂
    • "On dirait que vous voulez authentifier à l'aide d'un certificat client, pas un certificat de serveur comme cela a été dit dans certains commentaires.". Ce code n'a pas d'authentifier le serveur: essentiellement, vous l'envoyez à votre client cert pour quelque chose, mais vous n'avez pas vérifié ce que quelque chose a été. Rien de tout cela authentifie le serveur, ce qui devrait être fait en premier, si vous utilisez des certificats clients ou pas.
    • Il y a un petit copyNpaste bug. au lieu de deux fois le param 'YOUR_KEY_AND_CERT.pem' il devrait y avoir deux noms de fichiers. Premier à votre fichier de clé privée, le second, à la chaîne de certificats de fichier. les deux non garantis .format pem.
    • En fait, vous pouvez avoir à la fois la clé privée et le certificat (clé publique) dans le même fichier PEM -- vous venez d'ajouter l'un après l'autre.
    • très util pour cette question: PFX ou P7B ou DER à PEM converter: sslshopper.com/ssl-converter.html
    • J'ai juste un .crt (Public) du fichier et Quand je convertir cette .pem fichier,j'ai un .pem fichier et dans votre code, c'est une double cert fichier connect ('YOUR_KEY_AND_CERT.pem', 'YOUR_KEY_AND_CERT.pem') ,comment je peux utiliser ce code que vous avez écrit? - Je importer les deux la même chose?
    • SAXParseException: <inconnu>:7:11: pas bien formé (invalid token) , à la rencontre de cette erreur, j'ai converti le fichier pfx avec le mot de passe que je dois public et privé pem clés.

    InformationsquelleAutor nitwit
  2. 11

    Une autre solution est d'utiliser les demandes de la bibliothèque en tant que moyen de transport qui a un meilleur support pour ssl. C'est ce que j'utilise maintenant pour avoir accès à des services SOAP via https à l'aide de la mousse:-

    import requests
from suds.transport.http import HttpAuthenticated
from suds.transport import Reply, TransportError
class RequestsTransport(HttpAuthenticated):
def __init__(self, **kwargs):
self.cert = kwargs.pop('cert', None)
# super won't work because not using new style class
HttpAuthenticated.__init__(self, **kwargs)
def send(self, request):
self.addcredentials(request)
resp = requests.post(request.url, data=request.message,
headers=request.headers, cert=self.cert)
result = Reply(resp.status_code, resp.headers, resp.content)
return result

    Et puis vous pouvez instancier des suds client:-

    headers = {"Content-TYpe" : "text/xml;charset=UTF-8",
"SOAPAction" : ""}
t = RequestsTransport(cert='/path/to/cert', **credentials)
client = Client(wsdl_uri, location=send_url, headers=headers,
transport=t))

    Mise à jour

    Nous sommes maintenant en utilisant Zeep, qui utilisent requests dessous.

    • +1 Belle réponse. J'ai visité cette question de près d'un an et utilisé le urllib2 décrit dans @crétin de réponse. Je suis refactoring de code aujourd'hui et a décidé de passer le tout à la demande. Petite question: qu'est-ce que **les informations d'identification censé être sur la ligne 2? Je l'ai enlevé et je ne suis pas d'avoir des problèmes, mais je suis toujours curieux.
    • Que si votre savon d'extrémité exiger l'authentification http de base, de sorte credentials = {'username': 'yourname', 'password': 'yourpass'}.
    • J'essaie de l'exécuter, et d'obtenir un ssl.SSLError: [Errno 1] _ssl.c:1359: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure. J'ai pu accéder à la même wsdl_url avec un simple requests.get(wsdl_url, cert='/path/to/cert.pem', verify=False). Ne pas le demander pour obtenir le fichier WSDL être faite avec un GET?
    • En fait, j'ai remarqué que t.send n'est même pas d'être appelé ici. À l'aide!
    • Ne pas le "vérifier" argument mot-clé être remplacé par "cert" argument mot-clé dans les demandes.post? docs.python-requests.org/en/latest/user/advanced/...
    • Vous êtes correct. J'ai édité ma réponse.
    • oui, vous avez aussi besoin de surcharger la méthode open (). J'ai édité la réponse, j'espère qu'il obtient accepté.
    • Comme ma proposé de modifier peut prendre des heures avant d'obtenir approuvé, j'ai également ajouté un nouvel élément de réponse.

    InformationsquelleAutor k4ml
  3. 6

    Basé sur @k4ml réponse, j'ai seulement ajouté les open() qui permet de récupérer le fichier WSDL à l'aide du certificat.

    Cette méthode devrait résoudre le suds.transport.TransportError: HTTP Error 403: Forbidden lors de la tentative d'extraction d'un document WSDL (au Client création) servi derrière un service HTTPS.

    import requests
from suds.transport.http import HttpAuthenticated
from suds.transport import Reply, TransportError
class RequestsTransport(HttpAuthenticated):
def __init__(self, **kwargs):
self.cert = kwargs.pop('cert', None)
# super won't work because not using new style class
HttpAuthenticated.__init__(self, **kwargs)
def open(self, request):
"""
Fetches the WSDL using cert.
"""
self.addcredentials(request)
resp = requests.get(request.url, data=request.message,
headers=request.headers, cert=self.cert)
result = io.StringIO(resp.content.decode('utf-8'))
return result
def send(self, request):
"""
Posts to service using cert.
"""
self.addcredentials(request)
resp = requests.post(request.url, data=request.message,
headers=request.headers, cert=self.cert)
result = Reply(resp.status_code, resp.headers, resp.content)
return result

    Note de côté, j'ai aussi fait une suggestion de modifier à k4ml réponse, mais il peut prendre des heures avant qu'il soit approuvé.

    • Quand je fais un client.service.something appel et resp.status_code est 401, mais l'appel de service ne renvoie Aucun. Ne devrait-il pas renvoyer un code ou lever une exception?
    • Vous avez raison, elle pourrait peut-être jeter un TransportError ou une autre exception, la luxure comme dans HttpTransport.send(). Je n'ai rien pour tester et confirmer à l'heure actuelle.
    • Si vous obtenez un xml.sax._exceptions.SAXParseException: <unknown>:1:1: not well-formed (invalid token) erreur peut être que vous devez remplacer io.StringIO(resp.content.decode('utf-8')) avec StringIO.StringIO(resp.content) ... Voir aussi stackoverflow.com/a/38489118/1465758
    InformationsquelleAutor Andre Miras
  4. 4

    L'extension @k4ml la solution, en utilisant cert + clé
    Cela permettra de résoudre des exceptions comme:

    requests.exceptions.SSLError: [SSL] PEM lib (_ssl.c:2599)

    Solution:

    import requests
from suds.client import Client
from suds.transport.http import HttpAuthenticated
from suds.transport import Reply, TransportError
class RequestsTransport(HttpAuthenticated):
def __init__(self, **kwargs):
self.cert = kwargs.pop('cert', None)
HttpAuthenticated.__init__(self, **kwargs)
def send(self, request):
self.addcredentials(request)
resp = requests.post(
request.url,
data=request.message,
headers=request.headers,
cert=self.cert,
verify=True
)
result = Reply(resp.status_code, resp.headers, resp.content)
return result
t = RequestsTransport(cert=('<your cert.pem path>', 'your key.pem path'))
headers = {"Content-Type": "text/xml;charset=UTF-8", "SOAPAction": ""}
client = Client(wsdl_url, headers=headers, transport=t)
    InformationsquelleAutor Darkaico
  5. 3

    De sécurité SSL fonction est automatiquement activée python 2.7.9+ qui rompt la mousse et d'autres bibliothèques python. Je partage un patch qui peut résoudre ce problème:

    Vous localiser la mousse de bibliothèque et de les remplacer u2handlers fonction dans suds/trasnport/http.py fichier avec la ligne suivante:

    import ssl
def u2handlers(self):
"""
Get a collection of urllib handlers.
@return: A list of handlers to be installed in the opener.
@rtype: [Handler,...]
"""
handlers = []
unverified_context = ssl.create_default_context()
unverified_context.check_hostname = False
unverified_context.verify_mode = ssl.CERT_NONE
unverified_handler = urllib2.HTTPSHandler(context=unverified_context)
handlers.append(unverified_handler)
handlers.append(urllib2.ProxyHandler(self.proxy))
#handlers.append(urllib2.ProxyHandler(self.proxy))
return handlers

    Remarque: Il n'est pas recommandé de le faire.

    • Merci pour l'ajout de mises à jour, il vous sera utile
    InformationsquelleAutor Rishabh Tariyal