Tôi đã tìm kiếm điều tương tự. Tôi biết có một số bản vá lỗi trên trang web CherryPy.
Tôi cũng tìm thấy thông tin sau tại CherryPy SSL Client Authentication. Tôi đã không so sánh điều này so với các bản vá lỗi CherryPy nhưng có lẽ thông tin sẽ hữu ích.
Chúng tôi vừa mới cần thiết để phát triển một nhưng kiên cường ứng dụng nhanh chóng và REST của thấy rằng CherryPy phù hợp với nhu cầu của chúng tôi tốt hơn so với Python khác mạng khuôn khổ, như Twisted. Thật không may, tính đơn giản của nó thiếu một tính năng chính mà chúng tôi cần, Máy chủ/Khách hàng Xác thực chứng chỉ SSL. Do đó, , chúng tôi đã dành một vài giờ để viết một số ít sửa đổi nhanh chóng cho bản phát hành hiện tại, 3.1.2. sau các đoạn mã là những thay đổi chúng tôi thực hiện:
cherrypy/_cpserver.py
@@ -55,7 +55,6 @@ instance = None ssl_certificate = None ssl_private_key
= None
+ ssl_ca_certificate = None nodelay = True
def __init__(self):
cherrypy/wsgiserver/__init__.py
@@ -1480,6 +1480,7 @@
# Paths to certificate and private key files ssl_certificate = None ssl_private_key = None
+ ssl_ca_certificate = None
def __init__(self, bind_addr, wsgi_app, numthreads=10, server_name=None, max=-1, request_queue_size=5, timeout=10, shutdown_timeout=5):
@@ -1619,7 +1620,9 @@
self.socket.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1) if self.nodelay: self.socket.setsockopt(socket.IPPROTO_TCP, socket.TCP_NODELAY, 1)
- if self.ssl_certificate and self.ssl_private_key:
+ if self.ssl_certificate and self.ssl_private_key and \
+ self.ssl_ca_certificate:
+ if SSL is None: raise ImportError("You must install pyOpenSSL to use HTTPS.")
@@ -1627,6 +1630,11 @@ ctx = SSL.Context(SSL.SSLv23_METHOD) ctx.use_privatekey_file(self.ssl_private_key) ctx.use_certificate_file(self.ssl_certificate)
+ x509 = crypto.load_certificate(crypto.FILETYPE_PEM,
+ open(self.ssl_ca_certificate).read())
+ store = ctx.get_cert_store()
+ store.add_cert(x509)
+ ctx.set_verify(SSL.VERIFY_PEER | SSL.VERIFY_FAIL_IF_NO_PEER_CERT, lambda *x:True) self.socket = SSLConnection(ctx, self.socket) self.populate_ssl_environ()
các bản vá lỗi trên yêu cầu bao gồm một tùy chọn mới cấu hình bên trong của máy chủ CherryPy cấu hình, server.ssl_ca_certificate. Tùy chọn này xác định chứng chỉ tệp quyền kết nối khách hàng sẽ được xác thực, nếu ứng dụng không xuất trình chứng chỉ của khách hàng hợp lệ, nó sẽ đóng ngay kết nối .
giải pháp của chúng tôi có những ưu điểm và nhược điểm , lợi thế chính là nếu khách hàng kết nối không hiện một chứng chỉ hợp lệ nó kết nối ngay lập tức được đóng lại. Điều này là tốt cho các mối quan tâm về bảo mật như nó không cho phép ứng dụng truy cập vào ứng dụng CherryPy ngăn xếp. Tuy nhiên, do hạn chế được thực hiện ở cấp độ ổ cắm, ứng dụng CherryPy không bao giờ có thể thấy ứng dụng kết nối và do đó giải pháp có phần không linh hoạt.
Giải pháp tối ưu sẽ cho phép ứng dụng kết nối với ổ cắm CherryPy và gửi chứng chỉ ứng dụng khách vào ngăn xếp ứng dụng.Sau đó, một công cụ CherryPy tùy chỉnh sẽ xác nhận chứng chỉ bên trong ngăn xếp ứng dụng và đóng kết nối nếu cần thiết; không may là vì cấu trúc của việc triển khai pyOpenSSL của CherryPy là khó để truy xuất chứng chỉ của ứng dụng khách bên trong ứng dụng ngăn xếp.
Tất nhiên các bản vá lỗi ở trên nên chỉ được sử dụng có nguy cơ của riêng bạn. Nếu bạn tìm ra giải pháp tốt hơn, vui lòng cho chúng tôi biết.
Hiện có tại https://bitbucket.org/cherrypy/cherrypy/issue/1001/adding-support-for-client-certificate – Pim