Twisted Python Как создать файл twisted.web.client.BrowserLikePolicyForHTTPS с пользовательским trustRoot?

Question

Я пытаюсь создать t.w.c.BrowserLikePolicyForHTTPS для использования в качестве ContextFactory для t.w.c.Agent. Я использую внутренний ЦС для всех серверов, с которыми я хочу, чтобы Агент связывался, поэтому я хотел бы сказать, чтобы загрузить загрузку сертификата CA (формат PEM) и использовать его в качестве аргумента trustRoot для BrowserLikePolicyForHTTPS. Я прочитал документы и посмотрел на источник, но я понятия не имею, что я должен предлагать в качестве аргументов. Я попытался предоставление объекта PyOPenSSL x509, но я получаю сообщение об ошибке:

exceptions.TypeError: ('Could not adapt', <OpenSSL.crypto.X509 object at 0x280b290>, <InterfaceClass twisted.internet._sslverify.IOpenSSLTrustRoot>) 

я могу увидеть в коде в t.i._sslverify, что OpenSSLCertificateAuthorities какие-то образом получает адаптированные к IOpenSSLTrustRoot, но это не совсем понятно, как это происходит.

Я знаю, что агент по продаже не проводит сертификацию. Я работаю с вилкой treq и экспериментирую с добавлением опции для предоставления настраиваемого агента.

Любая помощь с аргументом trustRoot будет оценена по достоинству. Если я собираюсь сделать это с трудом, сообщите мне об этом.

Answer 1

Ваш вопрос здесь подчеркивает страшный надзор в документации; как в документации по API, так и в описательной документации. Если Жан-Поль не может понять «правильный путь», чтобы сделать это, то нет надежды на обычного пользователя. I have filed a bug to correct this oversight.

В то же время, пожалуйста, избегайте решения Жан-Поля. Хотя он функциональный, он включает в себя методы, которые почти наверняка будут развенчаны без предупреждения в будущих выпусках (как он четко отмечает). К счастью, поддерживаются способы сделать это.Если у вас есть один альтернативный доверительный корень, Certificate можно использовать в качестве значения для параметра trustRoot. Вы можете использовать его как так (я тестировал следующий пример с рассеченной 14.0.2):

from __future__ import print_function 
from twisted.web.client import Agent, BrowserLikePolicyForHTTPS 
from twisted.internet.task import react 
from twisted.internet.ssl import Certificate 
from twisted.internet.protocol import Protocol 
from twisted.python.filepath import FilePath 
from twisted.internet.defer import inlineCallbacks, Deferred 

@inlineCallbacks 
def main(reactor): 
    customPolicy = BrowserLikePolicyForHTTPS(
     Certificate.loadPEM(FilePath("your-trust-root.pem").getContent()) 
    ) 
    agent = Agent(reactor, customPolicy) 
    response = yield agent.request(
     "GET", "https://your-web-site.example.com/" 
    ) 
    done = Deferred() 
    class CaptureString(Protocol): 
     def dataReceived(self, data): 
      print("Received:", data) 
     def connectionLost(self, reason): 
      done.callback(None) 
    response.deliverBody(CaptureString()) 
    yield done 

react(main) 

Answer 2

IOpenSSLTrustRoot - это немного глупости API.

Это не открытый интерфейс, поэтому вы не можете реализовать свои собственные. Если это так, у него нет общедоступных методов, поэтому неясно, как вы можете настроить его поведение в любом случае.

Учитывая чувствительный к безопасности характер этого интерфейса, я готов поспорить, что Twisted пойдет на большие расстояния, чтобы убедиться, что любой написанный вами код продолжает работать - хотя интерфейс является закрытым, и на интерфейсе есть только частные методы.

Если вы пишете какой-то код, который зависит от этого интерфейса, он всегда работает так, как будто он работает, тогда вы, вероятно, можете, по крайней мере, опубликовать его в списке Twisted listing и сказать это, и люди, вероятно, попытаются не разорвать ваше приложение.

Как сказано выше, каждая часть этого является частной. Twisted's заявлено политики нет никаких гарантий обратной совместимости здесь. Так что продолжайте на свой страх и риск.

В любом случае, вы можете написать что-то вроде этого:

from zope.interface import implementer 

from characteristic import attributes 

from twisted.internet._sslverify import IOpenSSLTrustRoot 

@implementer(IOpenSSLTrustRoot) 
@attributes(["root_certificate_path"]) 
class MyCATrustRoot(object): 
    def _addCACertsToContext(self, context): 
     context.load_verify_locations(self.root_certificate_path) 

Затем используйте MyCATrustRoot экземпляр в качестве аргумента trustRootBrowserLikePolicyForHTTPS. Убедитесь, что вы используете хотя бы Twisted 14.0.2, потому что более ранние версии фактически игнорировали trustRoot, которые вы передали BrowserLikePolicyForHTTPS.

Например, если ваш доверенный «CA» сертификат на /foo/ca.pem:

from twisted.web.client import BrowserLikePolicyForHTTPS, Agent 
from twisted.internet import reactor 

agent = Agent(reactor, BrowserLikePolicyForHTTPS(
    MyCATrustRoot(root_certificate_path="/foo/ca.pem")))