用的 python 库是 redis-py
Redis 那边不太清楚配置正确没有,但是总归是正常跑起来提供服务了,但是客户端这边连接总是提示失败,大神帮忙看看哪里的问题。
我的步骤:
1.openssl 生成一个 rsa2048 的随机 key ,
2.将该 key 计算成公钥并包装成 CA 证书:ca.crt
3.openssl 再生成一个随机 key: server.key
4.生成请求证书文件
5.用刚才的 ca 证书生成一个认证后的证书:server.crt
用这三个文件启动 redis 的 tls 是成功了,但是 redis-py 客户端输入同样三个文件,连接会报错
conn = redis.Redis(
host='localhost',
port=6666,
ssl=True,
ssl_certfile='server.crt',
ssl_keyfile='server.key',
ssl_cert_reqs="required",
ssl_ca_certs='ca.crt'
)
错误提示
File "C:\Program Files\Python310\lib\site-packages\redis\asyncio\connection.py", line 1038, in get
context.load_cert_chain(certfile=self.certfile, keyfile=self.keyfile)
ssl.SSLError: [X509: KEY_VALUES_MISMATCH] key values mismatch (_ssl.c:3895)
尝试使用 redis-cli 按如下命令连接,发送命令会自动断连,也是错了
redis-cli -p 6666 --cert ./server.crt --key ./server.key --cacert ./ca.crt
搞不是太懂本地自签证书挂服务是个什么原理,正常来说 ssl 不是私钥自己持有,公钥互换公开么。服务端要求输入 keyfile 还能理解,为什么客户端也要输入 keyfile ?但是我试了试客户端把公私钥反过来照样连不上啊
1
yaott2020 2023-03-25 16:04:57 +08:00 via Android
你先搞清楚证书认证机制
|
2
adoal 2023-03-25 16:08:19 +08:00
客户端证书是服务器验证客户端身份用的,可以通俗类比为银行的 USB key ,在你这种情况下似乎并不需要。
|
3
Richard14 OP @adoal 我也觉得不需要,既然 ca 签发的证书,客户端有 ca 就行了吧。。但是如果注释剩下两个只留 ca 选项的话一样会报错
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate (_ssl.c:997) |
4
yinmin 2023-03-25 20:05:50 +08:00
你要用 ca 再做一套 client.crt 和 client.key ,redis-cli 使用 client.crt 、client.key 、ca.crt 这 3 个文件
|
5
NoirStrike 2023-03-25 23:10:39 +08:00
redis 不懂
看你这配置猜测是双向验证的 那样得折腾两套证书 4F 已经说了 |
6
Richard14 OP @NoirStrike
@yinmin 听起来很有道理,但是试了一下重新生成了一套公私钥发现还是连不上。。。 提示 ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate (_ssl.c:997) |
7
yinmin 2023-03-26 21:15:40 +08:00
这个错误是指 redis 服务器的证书配置有问题。你用 ca 再做一套新的 server.crt 和 server.key 。
启动 redis 服务器用下面这个参数: redis-server --tls-port 6666 --port 0 --tls-cert-file ./server.crt --tls-key-file ./server.key --tls-ca-cert-file ./ca.crt 客户端用这个测试命令: redis-cli --tls -p 6666 --cert ./client.crt --key ./client.key --cacert ./ca.crt |
8
Richard14 OP @yinmin 我这么操作了还是连不上,后来感觉是自己生成的证书有问题,从网上找了个生成证书的脚本生成出来,然后再按这个配置操作就能正常连上了。
但是目前有个问题是,redis-cli 用上面的--tls 命令能正常连上并发送 ping/pong ,说明服务端正常工作,我用 python 客户端的话还是连不上 命令是 conn = redis.Redis( host='localhost', port=6666, ssl=True, ssl_certfile='client.crt', ssl_keyfile='client.key', ssl_cert_reqs="required", ssl_ca_certs='ca.crt', ) 报错提示 File "C:\Program Files\Python310\lib\ssl.py", line 975, in do_handshake self._sslobj.do_handshake() ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: certificate signature failure (_ssl.c:997) |