Requests: SSLクライアント側証明書のパスワードを指定します

何かのようなもの：

requests.get('https://kennethreitz.com', cert='server.pem', cert_pw='my_password')

そのためにcertパラメータを使用することになっていることを確認してください： cert=('server.pem', 'my_password')

@ sigmavirus24
タプルは(certificate, key)です。 現在、暗号化されたキーファイルはサポートされていません。
stdlibは、バージョン3.3のサポートのみを取得しました。

@ t-8ch、ローカルFS上のファイルに誤ってリンクしました。 ;）正しいリンク。

かなり正しい@ t-8ch。 これが私がバスからの問題に決して答えるべきではない理由です。 ：/

したがって、現在のコンセンサスは、これをサポートしないということです。 3.3以外のバージョンのPythonでサポートを追加するのにどのくらいの作業が必要になる可能性がありますか？

この状態でエラーをスローするのはどれくらい難しいでしょうか？ 私はちょうどこのばかげた問題に遭遇しました、そしてそれを理解するのに2時間かかりました、それがエラーを投げるならそれは素晴らしいでしょう、それは現在ただそこにループしているだけです。 素晴らしいライブラリをありがとう！

待って、それはループしているところに座っていますか？ 実行のどこで失敗しますか？ ループした場所からトレースバックを印刷できますか？

ここにぶら下がっているようです：

r = requests.get（url、
auth = headerauth、
cert = self.cert_tuple、
headers = headers、
タイムアウト= 10、
verify = True）

タイムアウトを上下させて無駄にしようとしましたが、タイムアウトのかなり前に証明書を使用できないことを知っていると思います。 ありがとう！

ああ、すみません、はっきりしませんでした。 PythonがKeyboardInterrupt例外をスローするように、ハングさせてからCtrl + Cで強制終了し、トレースバックのどこにいるかを確認するつもりでした。 リクエストのどこで実行が停止するのか知りたい。

何が起こっているのか（または少なくとも私が多くの場合に見たもの）は、OpenSSLがパスワードで保護された証明書を与えられると、ユーザーにパスワードの入力を求めるということです。 ログには表示されず（プロンプトが直接出力されるため）、ユーザーがEnterキーを押すのを待っているためタイムアウトしません。

言うまでもなく、コードがサーバー上で実行されている場合、これは厄介で危険な動作です（プロセスを強制終了する以外に回復のオプションがないため、ワーカーがハングするため）。

その場合、パスワードの入力を求める代わりに、リクエストで例外を発生させる方法はありますか、それとも完全に制御不能でOpenSSLの管理下にありますか？

@maxnoelこれはOpenSSLの手にあると確信していますが、 @ Lukasaの質問（この問題に関する最後のコメント）に答えることができれば、私たちにできることがあるかどうかについて明確な答えを出すのに非常に役立ちます。 。

インタラクティブなPythonプロンプトから、OpenSSLがパスフレーズのstdinでブロックしていることを確認できます。

>>> r = requests.get("https://foo.example.com/api/user/bill", cert=("client.crt", "client.key"))
Enter PEM pass phrase:
>>>

バックグラウンドプロセスから実行している場合、OpenSSLはその入力の待機をブロックすると思います。

そのとおりです。 それを防ぐためにリクエストでできることはありますか？ パスワードが指定されていないときに例外を発生させることは、stdinで何かを要求するよりもはるかに便利です（特に非対話型プログラムの場合）。

どうしようもないのではないかと思います。 @reaperhulk？

OpenSSLがこれを実行しないようにする方法はいくつかありますが、それらがpyOpenSSLによって公開されているかどうかはわかりません。 リクエストはどこでpyopensslを呼び出してクライアント証明書をロードしますか？ 少し掘ることができます。

@reaperhulkこれはurllib3のここから行われ

stdlibについても非常によく似た処理を行いますが、これはまったく別の問題になります。

したがって、このようなパッチを使用してPyOpenSSLでこれを行うことができます。 stdlibバージョンでは、パスワードとともにload_cert_chainを使用する必要があります。

この問題は解決されましたか？ 私は現在、Apacheサーバーに接続しようとしているときにこれに遭遇しています。

ありません。

クライアント証明書/キーを含む可能性のあるPKCS＃12形式（および暗号化）コンテナーはどうですか？ これは同じ機能リクエストに該当しますか？

@mikelupoうん。

@telam @mikelupo
私は同じ問題を抱えていて、グーグルでたくさん検索しました。最後に、pycurlを使用して問題を解決しました。
私の状況では、opensslを使用して.pfxファイルを証明書とキー（パスフレーズで暗号化された）の両方を含む.pemファイルに変換してから、次のコードを呼び出します。

import pycurl
import StringIO

b = StringIO.StringIO()
c = pycurl.Curl()
url = "https://example.com"
c.setopt(pycurl.URL, url)
c.setopt(pycurl.WRITEFUNCTION, b.write)
c.setopt(pycurl.CAINFO, "/path/cacert.pem")
c.setopt(pycurl.SSLKEY, "/path/key_file.pem")
c.setopt(pycurl.SSLCERT, "/path/cert_file.pem")
c.setopt(pycurl.SSLKEYPASSWD, "your pass phrase")
c.perform()
c.close()
response_body = b.getvalue()

ところで、セキュリティのために、 pass phraseハードコードを行わない方が良いです

もちろん。 とはいえ、問題は実際にはパスフレーズが必要なことではありません。非対話型のGUIまたはリモートプログラムの場合でも、OpenSSLが誰かがstdinにパスフレーズを入力するのを待っている間にプログラムをハングさせることです。

パスフレーズが必要で何も提供されていない場合は、代わりに例外を発生させる必要があります。

キーにデフォルトのパスフレーズ ''を使用すると、opensslはハングしません。
不正なパスワードテキストが返されます。 すぐにpyフローを変更できます
次に、その見かけのストールなしでユーザーに通知します

この機能を追加する計画

追加したいのですが、現時点では追加する予定はありません。

@botondusリクエストライブラリを使用してこれを実現する簡単な方法を見つけたと思います。 私はこの問題に直面している他の人々のためにこれを文書化しています。

.p12証明書とキーのパスフレーズがあると仮定します。

証明書と秘密鍵を生成します。

// Generate the certificate file.
openssl pkcs12 -in /path/to/p12cert -nokeys -out certificate.pem
// Generate private key with passpharse, First enter the password provided with the key and then an arbitrary PEM password //(say: 1234) 
openssl pkcs12 -in /path/to/p12cert -nocerts -out privkey.pem

まだ完了していないので、サーバーと通信する必要があるたびに、PEMパスワードを必要としないキーを生成する必要があります。

パスフレーズなしでキーを生成します。

// Running this command will prompt for the pem password(1234), on providing which we will obtain the plainkey.pem
openssl rsa -in privkey.pem -out plainkey.pem

これで、 certificate.pemとplainkey.pemが作成されます。どちらのファイルも、リクエストを使用してAPIと通信するために必要です。

これらの証明書とキーを使用したリクエストの例を次に示します。

import requests
url = 'https://exampleurl.com'
headers = {
            'header1': '1214141414',
            'header2': 'adad-1223-122'
          }
response = requests.get(url, headers=headers, cert=('~/certificate.pem', '~/plainkey.pem'), verify=True)
print response.json()

お役に立てれば：

cc @kennethreitz @Lukasa @ sigmavirus24

アマゾンがまさにこれを社内で行っているとブドウの木を通して聞いたことがあります。

私もこの問題に直面しています。 私の懸念は、プレーンな秘密鍵をファイルシステムに保存したくないということです（他の人に盗まれるリスクがあるかもしれません）。 したがって、私の意見では、これを実装するためのより拡張可能な方法は、秘密鍵を指定するためにファイルパスの代わりにPEM encoded string of private keyようなものを使用することをサポートすることです。 秘密鍵/証明書の暗号化/復号化は、開発者に有利な方法で任せました。
リクエストのソースコードを読んだ後、リクエストは証明書/秘密鍵ファイルのみをサポートするpythonのssl libに依存しているため、実装は簡単ではないようです。 Python stdlibの代わりにpyopensslを使用できるかどうか疑問に思っていますか？ pyopensslにはopenssl接続のラッパーがあります。https：//pyopenssl.readthedocs.io/en/latest/api/ssl.html#connection-objectsを参照して

PyOpenSSLと他のいくつかの必要な依存関係がインストールされている限り、リクエストはすでにPyOpenSSLをサポートしています。 ただし、これが必須になることはありません。標準ライブラリを適切に使用することが重要です。

将来のリリースでは、TLSを処理するためにSSLContextオブジェクトをurllib3に渡すことがサポートされる予定です。これにより、この機能が有効になります。

この問題に直面している人のために、リクエストがssl.SSLContext / OpenSSL.SSL.Contextをurllib3に渡す機能を追加するまで、暗号化された証明書/キーファイルの使用を実際にサポートする回避策があります（標準ライブラリの代わりにPyOpenSSLがインストールされて使用されている必要があります） ssl、インストールされている場合はそうあるべきです）

import requests

 # Get the password from the user/configfile/whatever
password = ...

# Subclass OpenSSL.SSL.Context to use a password callback that gives your password
class PasswordContext(requests.packages.urllib3.contrib.pyopenssl.OpenSSL.SSL.Context):
    def __init__(self, method):
        super(PasswordContext, self).__init__(method)
        def passwd_cb(maxlen, prompt_twice, userdata):
            return password if len(password) < maxlen else ''
        self.set_passwd_cb(passwd_cb)

# Monkey-patch the subclass into OpenSSL.SSL so it is used in place of the stock version
requests.packages.urllib3.contrib.pyopenssl.OpenSSL.SSL.Context = PasswordContext

# Use requests as normal, e.g.
endpoint = 'https://example.com/authenticated'
ca_certs = '/path/to/ca/certs/bundle'
certfile = '/path/to/certificate'
keyfile = '/path/to/encrypted/keyfile'
requests.get(endpoint, verify=ca_certs, cert=(certfile, keyfile))

@ahnolds ：これはPKCS＃12ファイルでも機能しますか、それともこのPEMのみですか？

@Lukasa ：PKCS＃12のケースは本当にここで処理されることになっていますか、それとも別の問題を開く必要がありますか？

PKCS＃12は難しい問題ですが、基本的には、SSLContextをカスタマイズするために必要なことは何でもする必要があります。

@Lukasa ：リクエストで優れた高レベルAPIを提供することをもっと考えていました。 たとえば、 cert=...キーワードパラメータを使用してclient_cert.p12ファイル名とパスワードを指定するだけです。

@vogそれを機能させるには、どのコードが必要だと思いますか？

@Lukasa requestsの内部についてはよくわからないので、すでにそこにあるものを過小評価しているかもしれませんが、次のいずれかを実行する必要があると思います。

• PKCS＃12ファイル名を下位層（urllib3など）に直接提供する方法があります。 そして多分パスワードも。 （URLライブラリが管理者にサーバー側で実行されるツールでPKCS＃12パスワードを入力するようにインタラクティブに要求することを望んでいる人は誰もいないためです。）
• それが不可能な場合は、PKCS＃12（+ password）をPEMに変換してから、これらを下位レベルに提供する必要があります。 これは、 OpenSSLバインディングを直接呼び出す数回の呼び出しで行われます。 ただし、結果は文字列としてのPEM証明書であり、（暗号化されていない）PEMを文字列として下位層に提供する方法をまだ見つけていません（OpenSSL / python "ssl" "buffer"ラッパーを使用する場合を除く。例： wrap_bioですが、これは最新のPython 3バージョンでのみ使用可能であり、Python 2では使用できません）。
• したがって、それが不可能な場合も、PKCS＃12をPEMに変換するだけでなく、（暗号化されていない）PEMデータを含む一時ファイルを作成する必要があります。

最後のポイントは、私が現在基本的に行っていることですが、これはまったく好きではないことに注意してください。 証明書を含む単純な文字列をOpenSSLに提供できないのはなぜですか？ さらに、PKCS＃12のファイル名とパスワードを下位層に単純に渡せないのはなぜですか？

@reaperhulkにOpenSSLエキスパートとしてタグをクライアント証明書のPKCS＃12形式の証明書をロードするためのAPIがないことを理解しています。 これは、絶対にPEMに変換する必要があることを意味します。 メモリ内でそれを行うことは確かに可能ですが、ある時点で、このエキスパートを十分に考慮して、渡されたSSLContextに委任するだけではないのではないかと思います。

@Lukasaこの問題を真剣に受け止めてくれてありがとう。 これがあまりにも技術的に聞こえる場合は申し訳ありませんが、本質的にはこれだけです：

クライアント証明書を介してサービスにアクセスしたい。 ほとんどすべての場所で、これをファイルとパスワードとして取得します（ファイルはPKCS＃12でエンコードされています）。 Java標準ライブラリなどのほとんどのAPIでは、ファイル名とパスワードを指定するだけで、それを使用できます。

ただし、Pythonでは、これは地獄のように複雑です。

そのため、ほとんど誰もそれをしません。 代わりに、OpenSSLを介してファイルとパスワードを手動でPEMファイルに変換し、そのファイルを使用します。 これは、そのようなアプリケーションのすべてのユーザーの管理オーバーヘッドです。 （PKCS＃12）ファイルとパスワードに単純に名前を付けることはできないためです。

requestsライブラリは、少なくともJavaと同じくらい単純にする必要があると思います。

requestsすでに愚かな複雑なAPIを単純化する素晴らしい仕事をしており、PKCS＃12のユースケースは愚かな複雑なAPIの単なる別の例です。

PKCS＃12のユースケースは、愚かな複雑なAPIのもう1つの例です。

ええ、私はそれにまったく同意しません。スタックのどこかにPKCS＃12サポートのためのある種のソリューションがあれば完全に嬉しいです。

私が感じようとしているのは、それを機能させるために必要なコードと、その結果、これを配置する場所です。 私の推論は次のようなものです：

1. 一般的に言って、リクエストは、そうすることに実質的な有用性がある場合（つまり、多くの人が使用している場合、または一部の人が非常に頻繁に使用している場合）、および私たちが行っていることを正しく行うことが難しい場合にのみ、APIサーフェスに追加されますまたは微妙なエッジケースがあります。
2. 通常、PKCS＃12をサポートすると、APIサーフェスへの追加としてカウントされますが、 cert=の構文がまったく変更されない場合（サポートされるものが広がるだけ）、動作が低下しません（つまり、PKCS＃12ファイルとPEMファイルの違いを確実に見分けることができます。または、両方のロジックチェーンを簡単に処理することもできます）、表面への十分に小さな変更としてカウントされるため、おそらくそれだけの価値があります。 。
3. しかし、これが行くかもしれない他の場所があります。 たとえば、トランスポートアダプタレベルで、またはリクエストツールベルトのヘルパーとして、または他の何かとして。

つまり、これがどれほど微妙であるか、コードがどれほど複雑であるか、追加の依存関係が必要かどうかを検討し、その情報を使用してコードを配置するのに最適な場所を見つけたいということです。 たとえば、現在、標準ライブラリがPKCS＃12を処理できないという_疑惑_があります。つまり、_せいぜい_リクエストは[security]エクストラがインストールされているPKCS＃12しか使用できません。 さらに悪い場合には、OpenSSLバインディングで使用できる関数がまったくない可能性があります。その場合、それを機能させるには、実際の厄介な作業を行う必要があります。 だから私は@reaperhulkに加重してもらいたかったの

このサポートが追加されることを望んでいます。作業の範囲を知っている何人かの人々にここでコメントしてもらい、実際に移動する必要のある山の大きさを知らせてください。

PKCS＃12実装のもう1つの詳細：パスワードがバイト文字列ではなくunicodeオブジェクトとして指定されている場合、古いバージョンのPythonOpenSSLバインディングは失敗します。 したがって、次のようにload_pkcs12()に渡す前に変換する必要があります。

if isinstance(password, unicode):
    password_bytes = password.encode('utf8')
else:
    password_bytes = password
pkcs12 = OpenSSL.crypto.load_pkcs12(pkcs12_data, password_bytes)

完全なコンバーターは次のようになります。 pkcs12_dataはバイナリデータを含むバイト文字列であると予想され、 passwordはバイト文字列またはUnicode文字列である可能性があります。

def pkcs12_to_pem(pkcs12_data, password):
    # Old versions of OpenSSL.crypto.load_pkcs12() fail if the password is a unicode object
    if isinstance(password, unicode):
        password_bytes = password.encode('utf8')
    else:
        password_bytes = password
    p12 = OpenSSL.crypto.load_pkcs12(pkcs12_data, password_bytes)
    p12_cert = p12.get_certificate()
    p12_key = p12.get_privatekey()
    pem_cert = OpenSSL.crypto.dump_certificate(OpenSSL.crypto.FILETYPE_PEM, p12_cert)
    pem_key = OpenSSL.crypto.dump_privatekey(OpenSSL.crypto.FILETYPE_PEM, p12_key)
    pem = pem_cert + pem_key
    return pem

問題の問題はリクエストがPKCS＃12をネイティブにサポートする必要があるかどうかであるため、PKCS＃12の議論は最初の問題の範囲を超えているように思われます。 私はそれがそれ自身の問題を抱えていると投票します、しかし明らかにそれは担当者次第です。

とはいえ、暗号化されていない一時ファイルを必要としない回避策として、 OpenSSL.crypto.dump_privatekeyメソッドにはオプションのパスフレーズパラメーターがあるため、暗号化された秘密鍵のコピーをPEM形式で取得できます。 それは私たちが始めた暗号化されたPEM問題にこれを減らすでしょう。

あるいは、 OpenSSL.SSL.Contextのuse_privatekeyメソッドを使用する前に提案したものと同様のハックを作成することもできます。 頭のてっぺんから（テストされていない）次のようなもの

# From somewhere
pkcs12_data = ...
password_bytes = ...

class Pkcs12Context(requests.packages.urllib3.contrib.pyopenssl.OpenSSL.SSL.Context):
    def __init__(self, method):
        super(PasswordContext, self).__init__(method)
        p12 = OpenSSL.crypto.load_pkcs12(pkcs12_data, password_bytes)
        self.use_certificate(p12.get_certificate())
        self.use_privatekey(p12.get_privatekey())
# Monkey-patch the subclass into OpenSSL.SSL so it is used in place of the stock version
requests.packages.urllib3.contrib.pyopenssl.OpenSSL.SSL.Context = Pkcs12Context

次に、証明書をまったく指定せずにrequests.getなどを使用します。これは、コンストラクターで既に処理されているためです。

このスレッドを今すぐ確認します。 オリジナルの言い換え：

暗号化されたPEM形式のクライアント証明書が与えられた場合、リクエストはパスワードの提供を処理できますか？

これは現在の標準ライブラリにあるので、このオプションを統合するのは素晴らしいことです。 これは、エンタープライズセキュリティの考慮事項（証明書が暗号化されており、暗号化されたままであることが意図されている場合）にとって非常に価値があります。

この時点で、これは、トランスポートアダプターを使用してカスタムSSLコンテキストをurllib3に渡すことで実行できます。 これは、標準ライブラリのSSLコンテキストで許可されていることをすべて実行できます。 ここでカスタムコンテキストを渡す例を見ることができ

一時ファイルを使用して.pfxと.p12を.pemに変換することで、リクエストで.pfxと.p12を使用することができました。 https://gist.github.com/erikbern/756b1d8df2d1487497d29b90e81f8068を参照して

興味があればPRを提出できます。 一時ファイルとコンテキストマネージャーを避けるのは素晴らしいことです。 お知らせ下さい。

これはマージされる可能性は低いですが、恐れ入りますが、トランスポートアダプタを介してPyOpenSSLコンテキストをリクエストに直接渡すことができるようになったため、この問題を回避できる可能性があります。

これはマージされる可能性は低いですが、恐れ入りますが、トランスポートアダプタを介してPyOpenSSLコンテキストをリクエストに直接渡すことができるようになったため、この問題を回避できる可能性があります。

混乱して申し訳ありませんが、pfx / p12のサポートは一般的にマージされない可能性が高いと言っていますか？ （コンテキストなどを通じて、正しい方法で行われたと仮定します）。 それを試してみて幸せですが、それがマージされないのであれば、明らかに私の時間の価値はありません。

「マージされる可能性が低い」というのは、一時ファイルの解決策だと思います。

@erikbern明確にするために、ある程度一貫して機能するソリューションにアプローチしてマージできることをうれしく思います。 たとえば、urllib3のPyOpenSSL contribモジュールを介してPKCS＃12を使用するソリューションは受け入れられます。

ただし、一時ファイルソリューションは受け入れられません（@vogで示されているように）。 これは、PKCS＃12のサポートが標準ライブラリで機能する可能性が低いことを意味します。これは、標準ライブラリsslモジュールがサポートを公開していないため、すべてのリクエスト構成でサポートされるわけではないためです。

いいですね。 また、復号化されたキーをディスクに保存するセキュリティリスクがあるため、一時ファイルが不良であることに同意します。 来週それを見るかもしれません。 sslモジュールについてご意見をお寄せいただきありがとうございます–制限がrequests範囲外の場合は、明らかに注意が必要です。

私はそれを調べ、 sslモジュールがcadata引数を追加しました。ここで、pemデータを生の文字列として渡すことができます： https ：

これを機能させるには、たくさんの場所でurllib3にパッチを適用する必要があるので、そこから始めるかもしれません。

@erikbern明確にするために、適切に構成されたSSLContextオブジェクトをTransportAdapterを使用してurllib3に渡すだけで、そのようなほとんどすべてのソリューションがより適切に機能します。

https://github.com/kennethreitz/requests/issues/2519はこの問題と同じように思われるため、おそらくマージする必要があります

この問題に関する更新は、パスワードで暗号化されたクライアント証明書を使用しようとしていますが、機能させることができません。 リクエスト以外のオプションを探す必要がありますか？ できるだけ早く返信していただけませんか。

これを文書化しますか？ これが私たちの最も要望の多かった機能だと思います。

このスレッドは2013年に始まったと思いますが、最後まで説明された解決策は見つかりませんでした。 パスワードを提供するためのオプションを提供しましたか？ それともこれはまだ進行中ですか？

作成中のアプリセキュリティ製品でリクエストを使用しようとしています。 だからどんなポインタも役に立ちます

@AnoopPillaiこのコメントを確認しましたか？ https://github.com/requests/requests/issues/1573#issuecomment -188125157

はい、私はこのコメントを読みました。これは回避策ですが、私の場合、アプリケーションの外部で行う必要があるため、2つの証明書ファイルに変換したくありません。 さらに、暗号化された.pemファイルのパスワードを保存するためにボールトのようなものを使用します。

このパスワードは実行時にアプリによって動的に取得されるため、ハードコーディングは不要です。

@AnoopPillaiわかりました。

@kennethreitzいいえ、文書化しませんでした。

@AnoopPillaiええ、これは問題なく動作します。 いくつかの低レベルのフックを使用する必要があります。 この場合、トランスポートアダプタレベルでSSLContextをurllib3に直接渡すことができます。 これにより、基になる関数にアクセスして、パスフレーズまたはパスフレーズ関数を提供できます。 これが、これをサポートすることをお勧めする方法です。

便利だと思った一時ファイルを使用した@AnoopPillaiの回避策： https ： //gist.github.com/erikbern/756b1d8df2d1487497d29b90e81f8068

それを行う方法があることを私に知らせてくれたLukasaに感謝します。
私はPythonを初めて使用し、3.6バージョンを使用しています。 クライアント証明書のパスワードを渡すための暗号などのオプションを見つけることができる場所を教えてください。
@Erikbern私は一時ファイルの解決策をまだ経験していませんが、今日も同じことを見ていきます。 返信ありがとうございます。

@AnoopPillai load_cert_chainが必要になります。

@Lukasaそれを文書化して

申し訳ありませんが、Pythonの経験が不足していることが原因である可能性がありますが、Lukasaが上記で説明したコードを変更することはできません。 私のコードは次のとおりです。

class DESAdapter(HTTPAdapter):
    """
    A TransportAdapter that re-enables 3DES support in Requests.
    """
    def init_poolmanager(self, *args, **kwargs):
        context = create_urllib3_context(load_cert_chain='rtmqa-clientid.pem',password='weblogic')
        kwargs['ssl_context'] = context
        return super(DESAdapter, self).init_poolmanager(*args, **kwargs)

    def proxy_manager_for(self, *args, **kwargs):
        context = create_urllib3_context(load_cert_chain='rtmqa-clientid.pem', password='weblogic')
        kwargs['ssl_context'] = context
        return super(DESAdapter, self).proxy_manager_for(*args, **kwargs)

s = requests.Session()
s.mount(url, DESAdapter())
r = s.get(url, headers=request_header).json()

エラーが発生します
TypeError：create_urllib3_context（）が予期しないキーワード引数 'load_cert_chain'を取得しました

はい、それは間違いです。 あなたは、呼び出したいcreate_urllib3_contextとその戻り値を取得した後、呼び出しload_cert_chain返されたオブジェクトの上に。 インタラクティブインタプリタでこれらの関数を試してみて、それらがどのように機能するかを確認してください。

Macにインストールされているurllib3..util.ssl_.pyには、パスワードの最新のオプションがありません。
これはコードです

    if certfile:
        context.load_cert_chain(certfile, keyfile)
    if HAS_SNI:  # Platform-specific: OpenSSL with enabled SNI
        return context.wrap_socket(sock, server_hostname=server_hostname)

パスワードオプションがありません。 ssl_.pyを更新して最新バージョンを取得するにはどうすればよいですか？

@AnoopPillaiあなたはしません。 引数なしで関数を呼び出してから、返されたオブジェクトに対してload_cert_chainを呼び出します。 urllib3を変更する必要はありません。

明確にするために、このように：

ctx = create_urllib3_context()
ctx.load_cert_chain(your_arguments_here)

これを文書化しましょう:)

@ erikbern tempfileソリューションを試しましたが、次のエラーが発生しました：

Traceback (most recent call last):
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/contrib/pyopenssl.py", line 441, in wrap_socket
    cnx.do_handshake()
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/OpenSSL/SSL.py", line 1716, in do_handshake
    self._raise_ssl_error(self._ssl, result)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/OpenSSL/SSL.py", line 1456, in _raise_ssl_error
    _raise_current_error()
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/OpenSSL/_util.py", line 54, in exception_from_error_queue
    raise exception_type(errors)
OpenSSL.SSL.Error: [('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')]

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connectionpool.py", line 595, in urlopen
    self._prepare_proxy(conn)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connectionpool.py", line 816, in _prepare_proxy
    conn.connect()
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connection.py", line 326, in connect
    ssl_context=context)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/util/ssl_.py", line 329, in ssl_wrap_socket
    return context.wrap_socket(sock, server_hostname=server_hostname)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/contrib/pyopenssl.py", line 448, in wrap_socket
    raise ssl.SSLError('bad handshake: %r' % e)
ssl.SSLError: ("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/adapters.py", line 440, in send
    timeout=timeout
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connectionpool.py", line 639, in urlopen
    _stacktrace=sys.exc_info()[2])
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/util/retry.py", line 388, in increment
    raise MaxRetryError(_pool, url, error or ResponseError(cause))
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='credit-cards-accounts-qa.kdc.capitalone.com', port=443): Max retries exceeded with url: /credit-cards-accounts/credit-cards/accounts/XqLuxBTABbIDvpw56ba34p2WV9JoWUSkPJ09hrBlWD8= (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Users/tsu892/Desktop/Office/Pythone-work/ASR-pythone/ASR-python3.6/test-request.py", line 48, in <module>
    r = requests.get(url, headers=request_header, cert=cert).json()
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/api.py", line 72, in get
    return request('get', url, params=params, **kwargs)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/api.py", line 58, in request
    return session.request(method=method, url=url, **kwargs)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/sessions.py", line 508, in request
    resp = self.send(prep, **send_kwargs)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/sessions.py", line 618, in send
    r = adapter.send(request, **kwargs)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/adapters.py", line 506, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: HTTPSConnectionPool(host='credit-cards-accounts-qa.kdc.capitalone.com', port=443): Max retries exceeded with url: /credit-cards-accounts/credit-cards/accounts/XqLuxBTABbIDvpw56ba34p2WV9JoWUSkPJ09hrBlWD8= (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))

以下は私のコードです：

import requests
import json
import OpenSSL.crypto
import tempfile
import os
import contextlib
import ssl

json_file='apiInput.json'
hdr_key=[]
hdr_value=[]
json_data=open(json_file)
data = json.load(json_data)
request_body={}
#pprint(data)
json_data.close()
request_data = data['request1']
request_header=request_data['header-data']
url=request_header['url']

@contextlib.contextmanager
def pfx_to_pem():
    print('inside pfx tp pem')
    with tempfile.NamedTemporaryFile(suffix='.pem') as t_pem:
        f_pem = open(t_pem.name, 'wb')
        fr_pfx = open('rtmqa-clientid.pfx', 'rb').read()
        p12 = OpenSSL.crypto.load_pkcs12(fr_pfx,'xxxxxxxxx')
        f_pem.write(OpenSSL.crypto.dump_privatekey(OpenSSL.crypto.FILETYPE_PEM, p12.get_privatekey()))
        f_pem.write(OpenSSL.crypto.dump_certificate(OpenSSL.crypto.FILETYPE_PEM, p12.get_certificate()))
        ca = p12.get_ca_certificates()
        if ca is not None:
            for cert in ca:
                f_pem.write(OpenSSL.crypto.dump_certificate(OpenSSL.crypto.FILETYPE_PEM, cert))
        f_pem.close()
        yield t_pem.name

with pfx_to_pem() as cert:
    print(cert)
    r = requests.get(url, headers=request_header, cert=cert).json()
print(r.status_code)
print(r.json())

申し訳ありませんが、あなたのコメントから見て、なぜそれが壊れているのかわかりません。 私はそれをたくさんのアプリケーションに使用しましたが、問題はありませんでした

@Lukasaそのコード変更（以下に貼り付けたコード）を試してみたところ、tempfileメソッドで得たのと同じエラーが発生しました。

import requests
import json
from requests.adapters import HTTPAdapter
from requests.packages.urllib3.util.ssl_ import create_urllib3_context

json_file='apiInput.json'
hdr_key=[]
hdr_value=[]
json_data=open(json_file)
data = json.load(json_data)
request_body={}
#pprint(data)
json_data.close()
request_data = data['request1']
request_header=request_data['header-data']
url=request_header['url']

class DESAdapter(HTTPAdapter):
    """
    A TransportAdapter that re-enables 3DES support in Requests.
    """
    def init_poolmanager(self, *args, **kwargs):
        context = create_urllib3_context()
        context.load_cert_chain('rtmqa-clientid.pem',password='weblogic')
        kwargs['ssl_context'] = context
        return super(DESAdapter, self).init_poolmanager(*args, **kwargs)

    def proxy_manager_for(self, *args, **kwargs):
        context = create_urllib3_context()
        context.load_cert_chain('rtmqa-clientid.pem',password='weblogic')
        kwargs['ssl_context'] = context
        return super(DESAdapter, self).proxy_manager_for(*args, **kwargs)

s = requests.Session()
s.headers=request_header
s.mount(url, DESAdapter())
r = s.get(url)

/Users/tsu892/Python3.6/bin/python /Users/tsu892/Desktop/Office/Pythone-work/ASR-pythone/ASR-python3.6/Test-ASRreq.py
Traceback (most recent call last):
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/contrib/pyopenssl.py", line 441, in wrap_socket
    cnx.do_handshake()
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/OpenSSL/SSL.py", line 1716, in do_handshake
    self._raise_ssl_error(self._ssl, result)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/OpenSSL/SSL.py", line 1456, in _raise_ssl_error
    _raise_current_error()
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/OpenSSL/_util.py", line 54, in exception_from_error_queue
    raise exception_type(errors)
OpenSSL.SSL.Error: [('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')]

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connectionpool.py", line 595, in urlopen
    self._prepare_proxy(conn)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connectionpool.py", line 816, in _prepare_proxy
    conn.connect()
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connection.py", line 326, in connect
    ssl_context=context)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/util/ssl_.py", line 329, in ssl_wrap_socket
    return context.wrap_socket(sock, server_hostname=server_hostname)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/contrib/pyopenssl.py", line 448, in wrap_socket
    raise ssl.SSLError('bad handshake: %r' % e)
ssl.SSLError: ("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",)

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/adapters.py", line 440, in send
    timeout=timeout
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/connectionpool.py", line 639, in urlopen
    _stacktrace=sys.exc_info()[2])
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/urllib3/util/retry.py", line 388, in increment
    raise MaxRetryError(_pool, url, error or ResponseError(cause))
urllib3.exceptions.MaxRetryError: HTTPSConnectionPool(host='credit-cards-accounts-qa.kdc.capitalone.com', port=443): Max retries exceeded with url: /credit-cards-accounts/credit-cards/accounts/XqLuxBTABbIDvpw56ba34p2WV9JoWUSkPJ09hrBlWD8= (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Users/tsu892/Desktop/Office/Pythone-work/ASR-pythone/ASR-python3.6/Test-ASRreq.py", line 37, in <module>
    r = s.get(url)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/sessions.py", line 521, in get
    return self.request('GET', url, **kwargs)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/sessions.py", line 508, in request
    resp = self.send(prep, **send_kwargs)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/sessions.py", line 618, in send
    r = adapter.send(request, **kwargs)
  File "/Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/requests/adapters.py", line 506, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: HTTPSConnectionPool(host='credit-cards-accounts-qa.kdc.capitalone.com', port=443): Max retries exceeded with url: /credit-cards-accounts/credit-cards/accounts/XqLuxBTABbIDvpw56ba34p2WV9JoWUSkPJ09hrBlWD8= (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))

@erikbernは、私のラップトップのセットアップの問題である可能性があります。 私はMac、Pythone3.6を使用しています

6c40089ea258:~ tsu892$ pip3 show requests
Name: requests
Version: 2.18.4
Summary: Python HTTP for Humans.
Home-page: http://python-requests.org
Author: Kenneth Reitz
Author-email: [email protected]
License: Apache 2.0
Location: /Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages
Requires: idna, certifi, chardet, urllib3

6c40089ea258:~ tsu892$ pip3 show certifi
Name: certifi
Version: 2017.7.27.1
Summary: Python package for providing Mozilla's CA Bundle.
Home-page: http://certifi.io/
Author: Kenneth Reitz
Author-email: [email protected]
License: MPL-2.0
Location: /Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages
Requires: 

証明書に何か問題があると思いますか？

python -m requests.helpの出力は何ですか？

@Lukasa出力は次のとおりです。

6c40089ea258:~ tsu892$ python3 -m requests.help?
/Library/Frameworks/Python.framework/Versions/3.6/bin/python3: No module named requests.help?

コマンドラインから疑問符を削除してください。

6c40089ea258:~ tsu892$ python3 -m requests.help
{
  "chardet": {
    "version": "3.0.4"
  },
  "cryptography": {
    "version": "2.0.3"
  },
  "idna": {
    "version": "2.6"
  },
  "implementation": {
    "name": "CPython",
    "version": "3.6.2"
  },
  "platform": {
    "release": "16.7.0",
    "system": "Darwin"
  },
  "pyOpenSSL": {
    "openssl_version": "1010006f",
    "version": "17.2.0"
  },
  "requests": {
    "version": "2.18.4"
  },
  "system_ssl": {
    "version": "100020bf"
  },
  "urllib3": {
    "version": "1.22"
  },
  "using_pyopenssl": true
}

したがって、発生するエラーは、サーバーのTLS証明書を検証できないことが原因で発生します。 certifiとOpenSSLは正しいように見えるので、サーバーが誤動作していると思います。 どのサーバーに到達しようとしていますか？

アプリケーションはクラウドAWSにデプロイされます。 ただし、APIを呼び出すと、最初にOSBに送られ、証明書が認証されてから、リクエストがAWSにルーティングされます。
同じ証明書を使用し、postmanまたはrubyコードを使用するとAPIは正常に機能します

特定のルート証明書が必要ですか？ 到達したホスト名を教えていただけますか？

パスのないホストURLはhttps://credit-cards-accounts-qa.kdc.capitalone.comです
これは内部エンドポイントです

ええ、そこで何が起こっているのかわかりません。 openssl s_client -showcerts -connect credit-cards-accounts-qa.kdc.capitalone.com:443を実行して、完全な出力を提供できますか？

削除されました

これは、グローバルに信頼されているルート証明書を使用していないように見えます。 そのサービスのルート証明書はどこにありますか？

他の証明書は使用していません。 舞台裏でルート証明書が使用されているかどうかわからないので、それを見つける方法はありますか？

ええ、Chromeの開発者ツールはそれが使用している完全な証明書チェーンを教えてくれます。

おそらく、誰かが見ることができるように内部証明書をオンラインで投稿したくないでしょう...

@erikbernこれは公開情報です。 同じコマンドを実行することで、同じ結果を得ることができます。

@ SethMichaelLarson @ erikbernのGitHubプロファイル「

@erikbern @ sigmavirus24ああ！ 誰と話しているのかわからなかった。 続行！ 🙇

郵便配達員から実行すると、sha-1証明書以外は何も表示されません
どういうわけかこれをPycharmに追加する必要があるかもしれません

あなたが文字通りChromeでウェブサイトを閲覧するなら、それで十分なはずです。

@SethMichaelLarsonはどのコマンドを実行していますか？ 参考までに、コメントは削除されましたが、以前にここにBEGINCERTIFICATEブロブ全体がありました...オンラインで共有したくないと思います

@erikbernそれは証明書の公開鍵にすぎませんでした...

証明書は公開データです。 これらは、接続が試行されるたびに、ネットワークを介してプレーンテキストで送信されます。

証明書チェーンにアクセスしましたが、APIをヒットするために使用しているSha-1証明書と.Pem証明書のみが見つかりました

@AnoopPillaiパスワード付きのクライアント側pemファイルを使用して、9月1日のサンプルコードが問題なく機能するようになりました。 ホストは通常​​の証明書を使用しているようです。 @Lukasaに感謝します！

残念ながら、Temp Fileメソッドを使用しても、まだ問題が発生しています。 Google Postmanで.pfxを使用でき、認証に問題はありません（したがって、クレデンシャルが機能することはわかっています）が、Pythonで401を取得しています。 残念ながら、私が扱っている会社のサポート担当者はあまり助けになりませんでした-トラブルシューティングの提案はありますか？

この段階では、他の人が一時ファイル方式で成功したと報告していて、証明書管理チームから何も返事がないため、どこで問題を探すべきか本当にわかりません。

アドバイスをいただければ幸いです。これを簡単にするための追加情報を提供できるかどうかお知らせください。

ありがとう ：）

単なる提案ですが、PFXをPEMに変換してみましたか？ また、サーバーがユーザー名/パスワードも使用している場合は、auth =（）を使用してget / postリクエストを追加する必要があります。 パスワードで保護されたPEMファイルを使用して、上記のclass DESAdapter(HTTPAdapter)アプローチを数週間問題なく使用しています。

@ideaseanまだ無効なクレデンシャルを取得しています。 一時ファイルメソッド用に記述されたpfx_to_pem関数によって生成された.pemファイルをload_cert_chainに向ける必要がありますか？ 秘密鍵と証明書が含まれています。

.pfxはPostmanで動作しますが、ここでは認証されないため、変換プロセスで問題が発生している可能性がありますか？

一時ファイルメソッドは使用しませんでした。 上記の9月1日のAnoopPillaiの投稿に書かれているように、DESAdapterアプローチをほぼ使用しました。

私はそのコード変更（以下に貼り付けられたコード）を試してみましたが、tempfileメソッドで得たのと同じエラーが発生しました。

変換プロセスについて話すことはできませんが、おそらく良いテストは、変換されたpemファイルをPostmanで使用してみることです。

また、私のpemファイルは暗号化/パスワードで保護されており、Pythonリクエストは現在それをサポートしていないため、上記のアプローチを使用したことにも注意してください。 pemがパスワードで保護されていない場合は、リンクごとにネイティブリクエストを使用できるはずです（ただし、ファイルシステムに保護されていない証明書があります）。

@ideaseanこのメソッドに従って.pfxを分解し、バッグ属性と証明書を含む.pemファイルと、バッグ属性と暗号化された秘密鍵を含む.pemファイルを取得しました。

まだ無効なクレデンシャルを取得しているので、Postmanに証明書を入れて、それらが機能するかどうかを確認しようと思いますが、この.pfxを正しく解凍できない理由がわかりません。

また、opensslコマンドopenssl pkcs12 -in <my_pfx>.pfx -out certificate.cer -nodesを試しましたが、次のように変更しても401エラーが発生します： context.load_cert_chain('certificate.cer')

上記の.cerをインストールしましたが、PostmanはAPI呼び出しを行うときにそれを使用するように要求しません（.pfxを使用するように要求するポップアップとは異なります）、他にどのようにその特定の証明書を使用させることができるかわかりませんドキュメントに記載されているような設定には「証明書」パネルがないためです。

証明書パネル、SSL検証の無効化などが含まれていないブラウザバージョンのPostmanを使用している可能性があります。クライアント全体を試して証明書の設定を変更してください。 トピックから少し外れているので、別のスレッドでこのディスカッションを続けることをお勧めします。

@ mkane848は、 ValueError: String expected受け取っていた元のコメントを見ました。 https://github.com/pyca/pyopenssl/issues/701およびhttps://github.com/shazow/urllib3/issues/1275を確認することをお勧めし

私はこれを使用してパスワードでプライベートペムを使用します：

from requests.adapters import HTTPAdapter

from urllib3.util.ssl_ import create_urllib3_context

class SSLAdapter(HTTPAdapter):
    def __init__(self, certfile, keyfile, password=None, *args, **kwargs):
        self._certfile = certfile
        self._keyfile = keyfile
        self._password = password
        return super(self.__class__, self).__init__(*args, **kwargs)

    def init_poolmanager(self, *args, **kwargs):
        self._add_ssl_context(kwargs)
        return super(self.__class__, self).init_poolmanager(*args, **kwargs)

    def proxy_manager_for(self, *args, **kwargs):
        self._add_ssl_context(kwargs)
        return super(self.__class__, self).proxy_manager_for(*args, **kwargs)

    def _add_ssl_context(self, kwargs):
        context = create_urllib3_context()
        context.load_cert_chain(certfile=self._certfile,
                                keyfile=self._keyfile,
                                password=str(self._password))
        kwargs['ssl_context'] = context

参考までに、 requests PKCS＃12サポートを別のライブラリとして実装しました。

• https://pypi.python.org/pypi/requests-pkcs12

コードはクリーンな実装です。モンキーパッチも一時ファイルも使用しません。 代わりに、カスタムSSLContextを提供するカスタムTransportAdapterが使用されます。

フィードバックや改善は大歓迎です！

もちろん、 requestsがこの機能を直接提供することを望みますが、そこに到達するまで、このライブラリは苦痛を軽減します。

これを簡単に実行できれば非常に便利です。

~~~
cert =（ "cert.pem"、 "key.pem"、 "somepassphrase"）＃個別の証明書/キー

cert=("keycert.pem", None, "somepassphrase")    # combined cert/key

~~~

... Python3.3以降でのみ機能したとしても。 これは、APIサーフェスへのマイナーな追加にすぎません。

AFAICS、これは、HTTPSConnectionがオプションのpassword引数を受け入れるように、urllib3に小さな変更を加えることを意味します。 これはssl_wrap_socketを介して渡され、最終的に次のようになります。

〜certfileの場合：パスワードがNoneでない場合：context.load_cert_chain（certfile、keyfile、password）そうしないと：context.load_cert_chain（certfile、keyfile）〜

その場合、下位互換性があり、サポートされていない古いプラットフォームで秘密鍵パスフレーズを使用しようとした場合にのみ例外が発生します。

ことを注意contrib/pyopenssl.pyアダプタは、すでにサポートに、この余分な引数をload_cert_chain 、およびそうのpython 2.7 。

余談ですが、私はAWS KMSを使用して「シークレット」データを管理しているため、アプリケーションにハードコーディングするのではなく、実行時にKMSからキーパスワードをロードします。

個人的には、この変更に反対するつもりはありません。これにより、全体的に多くのユーザーのユーザーインターフェイスが大幅に改善されると思います。

@ sigmavirus24何か考えはありますか？

@candlerb @kennethreitz PKCS＃12ケースをそのAPIに含めることもできますか？

cert=('keycert.p12', None, 'somepassphrase')

区別は、ファイル拡張子（ *.p12と*.pem ）、またはそのファイルの最初のバイトを調べることによって行うことができます。

安全に実行できる限り、リクエストがpkcs＃12を取得できるようにすることに問題はありません。私の意見では、抽出された秘密鍵を一時ファイルに書き込むことはできません。

Python pkcs＃12をグーグルで検索すると、次のことがわかります。

• 秘密鍵を書き出す誰かのコード
• 私が思う他のいくつかのコードは、pkcs＃12で読み取るためにpyOpenSSLに依存しています。 証明書とキーをデータ項目として返します。

そのため、これらを含むファイル名ではなく、キー/証明書自体がOpenSSLに渡されるように接続する必要があると思います。 それははるかに大きな変化のように聞こえます。

それが難しすぎる場合は、ユーザーがpkcs＃12をオフラインでPEMに変換する必要があることを意味します。これは非常に簡単です（文書化できます）。

@candlerb以前のコメント（https://github.com/requests/requests/issues/1573#issuecomment-348968658）で書いたように、 requestsとうまく統合するクリーンな実装をすでに作成しました。

したがって、あなたが説明している問題はすでに解決されています。

現在、私の実装では、新しいpkcs12_*キーワード引数を追加して、できるだけ邪魔にならないようにしています。

しかし、代わりにcertキーワード引数に統合する必要があると思います。私の質問は次のとおりです。

• それは一般的に受け入れられますか？
• 私の具体的な提案cert=('keycert.p12', None, 'somepassphrase')は受け入れられますか？
• PKCS＃12とPEMをどのように区別する必要がありますか？ （ファイル名のサフィックス、またはファイルの内容によって？）

（さらに、それを別のrequests_pkcs12ライブラリではなく、 requests入れたいと思います。しかし、この問題の時代を考えると、これがすぐに上流に行くことはほとんど期待できません。しかし、どの種類の実装が正確に必要かについて具体的なステートメントがあれば、それに応じて実装を調整し、プルリクエストを提案することができます。）

だから、いくつかのこと：

1. certキーワードをこのように拡張するべきではないと思います。 これは暗黙的に構造化されたデータであり、人々はすでにfilesキーワードのタプルによって混乱しています。 既知の悪いパターンを続けるのはばかげていると思います。

2. どちらかといえば、pkcs12アダプターを変更して、requests-toolbeltにアップストリームする必要があると思います。 pkcs12パスワードをそのオブジェクトのメモリに保存するのではなく、一度変更してssl_contextを作成する方がよいと思います。

より一般的なケースでこれを処理する前に、他にも実行する必要のある作業があると思います。これには、Requests3.0に適切なAPIを決定することも含まれます。

@ sigmavirus24フィードバックをありがとう。

1. では、個別のpkcs12_*キーワードを保持しましょう。
2. はい、それは間違いなく改善する価値があります。 そのための課題追跡エントリを作成しました： https ：

PKCS＃12 TransportAdapterクラスはどのようにrequests含まれますか？ そのクラスは単にrequestsに追加されるのでしょうか、それとも「より深い」レベルに含める別の方法があるので、 request()/get()/...ラッパーなしで、明示的にロードすることなく使用できます。アダプタ？

私の組織はPKCS12証明書を使用する必要があり、そのためにライブラリに必要な拡張を行う用意があります。 .p12ファイルを.pemファイルに復号化することは、リスクが大きすぎると見なされ、対処するための追加の手順が追加されます。 特定のセッションに適切なssl_contextを生成して提供する機能を追加したいと思います。 これは、適切に実装されていると仮定して、チームが受け入れても構わないと思っている機能ですか？

簡単なリマインダー：クリーンな実装はすでに当社から提供されていますが、個別のアダプターとして： https ：

リクエスト自体のプルリクエストに自由に再フォーマットしてください。

途中で、マイナーな問題を修正することをお勧めします。ssl_contextは、セッション全体でメモリに保持するのではなく、特定の1つの接続に対してできるだけ短く保持する必要があります。 参照：

• https://github.com/m-click/requests_pkcs12/issues/2

途中で修正する場合は、リクエスト自体に加えて、 https：//github.com/m-click/requests_pkcs12への小さなプルリクエストとして提供できると便利です。

そうすれば、現在requests_pkcs12ライブラリを使用しているすべての人が、リクエスト自体のために（その後改善された）新しいAPIに切り替えることなく、その改善から自動的に恩恵を受けることになります。

ええ、 https：//github.com/m-click/requests_pkcs12は私のために働き、私が望んでいたことを正確に実行しました。 どうもありがとう

また、 @ vogの実装に感謝し、期待どおりに機能し、私の場合はS3のような安全でないストレージに証明書/キーを保持する問題を解決します。 うまくいけば、これはrequests到達する可能性があります。