Requests: SSLError "잘못된 핸드셰이크: 오류([('SSL 루틴', 'tls_process_server_certificate', '인증서 확인 실패')],) 자체 서명된 인증서 사용

에 만든 2017년 11월 10일 · 12코멘트 · 출처: psf/requests

여보세요. https로 서버에 연결하려고 합니다. 검증 매개변수에 포함되는 자체 서명된 인증서인 인증서가 있지만 결과는 '인증서 검증 실패' 오류입니다. 인증서가 자체 서명(Microsoft IIS에 의해)되는 것과 관련이 있다고 생각했지만 curl을 사용하면 작동합니다.
미리 감사드립니다!

다음은 openssl 출력입니다.

openssl s_client -showcerts -connect server:44300
CONNECTED(00000003)
depth=0 CN = server
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = server
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=server
   i:/CN=server
-----BEGIN CERTIFICATE-----
<certificate data here>
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=server
issuer=/CN=server
---
No client certificate CA names sent
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1477 bytes and written 431 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: CC4A000083B1E03B446416C9C0B16CBEAB79949E3CF5C936A309A6F92FA01364
    Session-ID-ctx:
    Master-Key: 798A570B0EC2A0CBB7C4C4DE6167E7579A92239942D869CD794B8BEBEA6EB5E492394634AD32665A8BB829DE1F3858D2
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1510329948
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---

예상 결과

인증서가 verify 매개변수에 있으므로 연결이 실패하지 않을 것으로 예상합니다. Python 외부에서 curl로 동일하게 시도하면 작동합니다.

curl https://server:44300 --cacert /usr/share/ca-certificates/server.crt
 HTTP/1.1 403 Forbidden
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 1158
Content-Type: text/html
Server: Microsoft-IIS/10.0
X-Frame-Options: SAMEORIGIN
P3P: CP=None
Access-Control-Allow-Methods: GET,POST,PUT,DELETE,OPTIONS
Access-Control-Allow-Headers: X-Requested-With,Content-Type
Access-Control-Allow-Credentials: true
Date: Fri, 10 Nov 2017 16:02:26 GMT

(실패하지만 인증서 문제로 인한 것은 아님)

실제 결과

Traceback (most recent call last):
  File "<string>", line 1, in <module>
  File "xxxxx/TestVirtualEnv/local/lib/python2.7/site-packages/requests/api.py", line 72, in get
    return request('get', url, params=params, **kwargs)
  File "xxxxx/TestVirtualEnv/local/lib/python2.7/site-packages/requests/api.py", line 58, in request
    return session.request(method=method, url=url, **kwargs)
  File "xxxxx/TestVirtualEnv/local/lib/python2.7/site-packages/requests/sessions.py", line 508, in request
    resp = self.send(prep, **send_kwargs)
  File "xxxxx/TestVirtualEnv/local/lib/python2.7/site-packages/requests/sessions.py", line 618, in send
    r = adapter.send(request, **kwargs)
  File "xxxxx/TestVirtualEnv/local/lib/python2.7/site-packages/requests/adapters.py", line 506, in send
    raise SSLError(e, request=request)
requests.exceptions.SSLError: HTTPSConnectionPool(host='nlybstqvp4nb75n.code1.emi.philips.com', port=44300): Max retries exceeded with url: / (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')],)",),))

번식 단계

import requests
requests.get('https://server:44300', verify='/usr/share/ca-certificates/server.crt')

시스템 정보

$ python -m requests.help

{
  "chardet": {
    "version": "3.0.4"
  },
  "cryptography": {
    "version": "2.1.3"
  },
  "idna": {
    "version": "2.6"
  },
  "implementation": {
    "name": "CPython",
    "version": "2.7.12"
  },
  "platform": {
    "release": "4.10.0-38-generic",
    "system": "Linux"
  },
  "pyOpenSSL": {
    "openssl_version": "1010007f",
    "version": "17.3.0"
  },
  "requests": {
    "version": "2.18.4"
  },
  "system_ssl": {
    "version": "1000207f"
  },
  "urllib3": {
    "version": "1.22"
  },
  "using_pyopenssl": true
}

이 명령은 요청 v2.16.4 이상에서만 사용할 수 있습니다. 그렇지 않으면,
시스템에 대한 몇 가지 기본 정보를 제공하십시오(Python 버전,
운영 체제, &c).

출처

sg77

가장 유용한 댓글

python requests 모듈의 초보자이고 보안 사이트에 액세스해야 하는 몇 가지 작업을 수행하려는 경우 Certificate verify failed 및 모든 초보자 프로그래머와 마찬가지로 이 오류로 인해 멸망할 가능성이 높습니다. auth = session.post( mysecureurl, verify=false) 를 사용하고 싶어질 것입니다.

그러나 이것은 매우 나쁜 습관이며 많은 SO 게시물에 대해 낙담했지만 여전히 초보자는 오류를 수정하기가 너무 어렵기 때문에 이것을 오용합니다.
이 문제에 대해 약간의 설명을 드리겠습니다.
Python(pip) 및 Conda 및 모든 Python 기반 소프트웨어는 모든 브라우저와 마찬가지로 별도의 인증서 저장소 를 사용합니다. Python 요청 라이브러리는 기본적으로 자체 CA 파일 을 사용하거나 설치된 경우 certifi 패키지의 인증서 번들을 사용합니다. 또한 pip는 curl 와 달리 시스템 인증서를 사용하지 않습니다.
따라서 requests 의 경우 conda 또는 pip를 통해 인증서 저장소를 수동으로 지정해야 합니다.

Tldr;

여기에 표시된 이 놀라운 블로그 에 따라 브라우저를 사용하여 모든 .cer 인코딩된 인증서 체인을 내보냅니다. 참고로 블로그는 conda certstore가 아니라 git certstore에 관한 것이며 루트만 내보냅니다. 그러나 모든 인증서 체인을 별도의 파일로 내보냈습니다.
다음으로 pip install certifi 명령을 사용하여 certifi 를 설치합니다.
conda 또는 python의 인증서 저장소의 기본 경로를 확인하십시오.

import ssl
ssl.get_default_verify_paths() 또는
import certifi
certifi.where()

기본 cacert.pem 파일을 찾았으면 이 파일을 열고(메모장++로 사용하는 것이 좋습니다) 파일 끝에 모든 인증서를 추가합니다. (인증서 구분 -----BEGIN CERTIFICATE----- 및 -----END CERTIFICATE----- ). 파일을 저장하면 됩니다.
또는 conda를 사용하는 경우 conda 명령을 사용하십시오.
conda config --set ssl_verify <pathToYourFile>.crt
(나는 이 명령이 C:\Users\johndoe\.condarc 의 내용을 업데이트한다는 것을 알았습니다)
아래 코드를 사용하여 확인하십시오.
import certifi
auth = session.post('https://mysecuresite.com/', cert=());

또한 Linux를 사용하는 경우 이 링크 를 사용하여 사용자 정의 cacert를 시스템 전체 또는 사용자 프로필( .bashrc 또는 .bash_profile )로 내보낼 수 있습니다.

RSwarnkar 에 2020년 04월 13일

👍6

모든 12 댓글

BTW, 이것은 Ubuntu 16.04입니다.

sg77 에 2017년 11월 10일

이 오류는 인증서 자체가 어떤 식으로든 유효하지 않기 때문에 거의 확실합니다. PEM으로 인코딩된 인증서 자체를 제공할 수 있습니까?

Lukasa 에 2017년 11월 10일

안녕. 빠른 답변 감사합니다. 이것은 인증서입니다:
-----인증서 시작-----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-----종료 증명서--------
나는 그것이 완전히 유효하지 않다는 것을 알고 있습니다. 그러나 어떻게 든 curl은 그것을 받아들일 수 있습니다. 요청이 동일한 작업을 수행하지 않는 이유가 궁금했습니다. 나는 둘 다 openssl을 사용하여 인증서의 유효성을 검사한다고 가정했습니다.

sg77 에 2017년 11월 11일

이에 대한 업데이트가 있습니까? 또한 Python 요청 라이브러리의 자체 서명 인증 사이트에 문제가 있습니다.

아래에 오류가 발생합니다.

requests.get('https://10.10.24.20', verify='/etc/ssl/certs/certSIGN_ROOT_CA.pem')
역추적(가장 최근 호출 마지막):
파일 "", 1행, 에서
파일 "/usr/local/lib/python2.7/dist-packages/requests/api.py", 72행, get
반환 요청('get', url, params=params, *kwargs)요청 시 파일 "/usr/local/lib/python2.7/dist-packages/requests/api.py", 58행session.request(메소드=메서드, url=url, * kwargs)를 반환 합니다.
파일 "/usr/local/lib/python2.7/dist-packages/requests/sessions.py", 508행, 요청
resp = self.send(준비, *send_kwargs)파일 "/usr/local/lib/python2.7/dist-packages/requests/sessions.py", 618행, 보내기r = adapter.send(요청, * kwargs)
파일 "/usr/local/lib/python2.7/dist-packages/requests/adapters.py", 506행, 보내기
SSLError(e, 요청=요청) 발생
requests.exceptions.SSLError: HTTPSConnectionPool(host='10.10.24.20', port=443): 최대 재시도 횟수 초과: url: / (Caused by SSLError(SSLError("잘못된 핸드셰이크: Error([('SSL 루틴', 'tls_process_server_certificate)) ', '인증서 확인 실패')],)",),))

내가 확인 False를 유지하면 작동하지만 verify=True로 원합니다.

ashwini-kaklij 에 2017년 11월 13일

나는 이것을 전에 보지 못했기 때문에 새로운 문제를 열었습니다. 죄송합니다. 그러나 나는 같은 문제에 직면하고 있습니다. 나를 위해 '요청'은 verify=False인 경우에도 실패합니다.

$ 파이썬
Python 2.7.13(기본값, 2017년 1월 19일, 14:48:08)
[GCC 6.3.0 20170118] linux2
자세한 내용을 보려면 "도움말", "저작권", "크레딧" 또는 "라이센스"를 입력하십시오.

가져오기 요청
requests.get("https://localhost:9000/getcpuinfo", 확인=거짓)
역추적(가장 최근 호출 마지막):
파일 "", 1행, 에서
파일 "/usr/lib/python2.7/dist-packages/requests/api.py", 70행, get
반환 요청('get', url, params=params, *kwargs)요청 시 파일 "/usr/lib/python2.7/dist-packages/requests/api.py", 56행session.request(메소드=메서드, url=url, * kwargs)를 반환 합니다.
파일 "/usr/lib/python2.7/dist-packages/requests/sessions.py", 488행, 요청
resp = self.send(준비, *send_kwargs)파일 "/usr/lib/python2.7/dist-packages/requests/sessions.py", 609행, 보내기r = adapter.send(요청, * kwargs)
파일 "/usr/lib/python2.7/dist-packages/requests/adapters.py", 497행, 보내기
SSLError(e, 요청=요청) 발생
requests.exceptions.SSLError: ("잘못된 핸드셰이크: SysCallError(-1, '예기치 않은 EOF')",)

내 지역 인증서 정보는,

$ openssl s_client -showcerts -connect localhost:9000
CONNECTED(00000003)
depth=0 CN = localhost
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = localhost
verify return:1
write:errno=0
---
Certificate chain
 0 s:/CN=localhost
   i:/CN=localhost
-----BEGIN CERTIFICATE-----
MIIC/jCCAeagAwIBAgIJAKATu2AY/QT4MA0GCSqGSIb3DQEBCwUAMBQxEjAQBgNV
BAMMCWxvY2FsaG9zdDAeFw0xNzExMDkyMTQ1NTBaFw0xNzEyMDkyMTQ1NTBaMBQx
EjAQBgNVBAMMCWxvY2FsaG9zdDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoC
ggEBAJTPk5nao0wG/EDFGnq7BvXMkEZ5oUVq7PAUxWi+E/byJk924l7Z5kACgWBa
zQL0lLXLpdMk97EFGWMblz5Ehtqh7U8HaE9OZ6x/pesDTka+REnpXecklRrdZHX7
lfFnNIU58grPpB2GyUXrRdOtcPlaKXUo+VTd7PgwMtYVtt8pyTWxSB2MMYrqJGT8
78KX6trRzQLm7tas3U0jD59+R8j7gxU6FyFaNJBrkJ5T9kHGKOsAzSqZdCgRBjl5
i7xcXJfOAAnZ3jhGlY5DQht+HZDHhjkLG9kcZZhFDYteFk8drzbd3lBw96nLq+8A
Sy92FtQL4GiYSwZ0WVAmwmTCGjUCAwEAAaNTMFEwHQYDVR0OBBYEFLYjwGKbcV9h
sYHxe8l9UvXVivByMB8GA1UdIwQYMBaAFLYjwGKbcV9hsYHxe8l9UvXVivByMA8G
A1UdEwEB/wQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAHl7okBCJlms+cwfzLhs
sbyyuX2wgngxyvjy497zBmeh1TiueGPhOx9u/sfJSZmoUaeRd/zPGkp2DcPQ+Lo2
EHYrXMPE1Ecgpu/15JZ8jNuE+FwZb9lllULLwzq8pDkdbdsSRltdV/rFlZ2YkscB
c+xvVaCltw5KpKnY6AWHoqwoDcd8TZKzyKXLSuluKbHNC1lvg8cMzs6hFA9P92Ae
9P08AKLAIOGJ7QzRrXQIsAO4p9rHheeZeYQZyNiRrXPQUoWos4+OjynaNs+FabhN
XBtSl/GGPRRRfU/D9v4iKfQx15CEvs1AKn1Z6mIPF05pSqbgIoz2mJBV6UM7e+hz
TRs=
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=localhost
issuer=/CN=localhost
---
No client certificate CA names sent
Peer signing digest: SHA512
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 1198 bytes and written 302 bytes
Verification error: self signed certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 5311B8500C8AF327083E1465FE1E1A6A98E0996B4791150A01D6B130C7F0549909A4BDCDED388E9EDE124BB6C50E150A
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1510599077
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: no
---

uttampawar 에 2017년 11월 13일

이 문제를 가로채지 마십시오. 일반적으로 스택 오버플로를 사용하여 다음과 같은 질문을 해야 합니다. 요청으로 문제에 과부하가 걸리면 문제를 닫고자 하는 경향이 있습니다.

@sg77 귀하의 인증서는 CA=FALSE 로 표시되어 있어 인증서를 발급할 수 없습니다. curl이 이 인증서를 루트 CA가 아닌 핀으로 사용하도록 코드를 사용자 지정하고 있다고 생각합니다. 요청은 그렇게 하지 않습니다. 이 인증서는 루트 CA가 될 수 없으므로 유효성을 검사하지 않습니다.

CA=TRUE 로 새 인증서를 발행하거나 BasicConstraints를 완전히 생략하는 것이 좋습니다.

@ashwini-kaklij 인증서를 볼 수 없기 때문에 확인이 실패한 이유를 모르겠습니다. 여기에 게시하지 마세요 . 대신 StackOverflow에 질문을 보내세요.

@uttampawar 귀하의 오류는 서버가 어떤 이유로 TLS 핸드 셰이크를 좋아하지 않기 때문에 발생합니다. 자세한 내용이 없으면 이유를 알 수 없습니다. 다시 질문을 스택 오버플로에 가져가십시오.

Lukasa 에 2017년 11월 14일

👎22 😕6 👍6

@Lukasa 문제를 높이려는 의도는 없었습니다. 이곳이 잘못된 곳일 수 있습니다. 비슷한 성격의 것을 보았기 때문에 내 의견과 관찰을 추가했습니다. 귀하의 의견에 감사드립니다. stackoverflow에 대해 질문하겠습니다. 감사 해요.

uttampawar 에 2017년 11월 14일

이 문제를 가로채지 마십시오. 일반적으로 스택 오버플로를 사용하여 다음과 같은 질문을 해야 합니다. 요청으로 문제에 과부하가 걸리면 문제를 닫고자 하는 경향이 있습니다.
@sg77 귀하의 인증서는 CA=FALSE 로 표시되어 있어 인증서를 발급할 수 없습니다. curl이 이 인증서를 루트 CA가 아닌 핀으로 사용하도록 코드를 사용자 지정하고 있다고 생각합니다. 요청은 그렇게 하지 않습니다. 이 인증서는 루트 CA가 될 수 없으므로 유효성을 검사하지 않습니다.
CA=TRUE 로 새 인증서를 발행하거나 BasicConstraints를 완전히 생략하는 것이 좋습니다.
@ashwini-kaklij 인증서를 볼 수 없기 때문에 확인이 실패한 이유를 모르겠습니다. _여기에 게시하지 마세요_: 대신 StackOverflow로 질문을 보내세요.
@uttampawar 귀하의 오류는 서버가 어떤 이유로 TLS 핸드 셰이크를 좋아하지 않기 때문에 발생합니다. 자세한 내용이 없으면 이유를 알 수 없습니다. 다시 질문을 스택 오버플로에 가져가십시오.

안녕하세요 Lukasa - 방금 답장을 보았습니다. @sg77 에 "귀하의 인증서가 CA=FALSE 로 표시되어 있습니다."라고 답장했습니다.

이것이 거짓이라는 것을 어떻게 알 수 있으며 이것을 TRUE로 다시 설정할 수 있는 위치/방법은 무엇입니까?

감사 해요.

popohoma 에 2019년 10월 24일

👀1 👍1

인증서 키를 온라인에 게시하는 것은 비밀번호를 게시하는 것과 같습니다.

Synida 에 2020년 01월 08일

@시니다

인증서 키를 온라인에 게시하는 것은 비밀번호를 게시하는 것과 같습니다.

음, 아니. 인증서의 개인 키 를 게시하는 것은 비밀번호와 동일합니다.

비즈니스의 모든 CA는 모든 주류 OS 및 브라우저에 인증서를 보유하고 있습니다. 모든 사람에게 비밀번호를 알려주나요?

https://en.wikipedia.org/wiki/Public-key_cryptography

tedd-wq 에 2020년 01월 23일