V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
Richard14
V2EX  ›  Python

使用 Python 连接 Redis,想用自签证书启用 tls 协议报错

  •  
  •   Richard14 · 2023-03-25 15:41:44 +08:00 · 1812 次点击
    这是一个创建于 591 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用的 python 库是 redis-py

    Redis 那边不太清楚配置正确没有,但是总归是正常跑起来提供服务了,但是客户端这边连接总是提示失败,大神帮忙看看哪里的问题。

    我的步骤:

    1.openssl 生成一个 rsa2048 的随机 key ,
    2.将该 key 计算成公钥并包装成 CA 证书:ca.crt
    3.openssl 再生成一个随机 key: server.key
    4.生成请求证书文件
    5.用刚才的 ca 证书生成一个认证后的证书:server.crt
    

    用这三个文件启动 redis 的 tls 是成功了,但是 redis-py 客户端输入同样三个文件,连接会报错

    conn = redis.Redis(
        host='localhost',
        port=6666,
        ssl=True,
        ssl_certfile='server.crt',
        ssl_keyfile='server.key',
        ssl_cert_reqs="required",
        ssl_ca_certs='ca.crt'
    )
    

    错误提示

    File "C:\Program Files\Python310\lib\site-packages\redis\asyncio\connection.py", line 1038, in get
        context.load_cert_chain(certfile=self.certfile, keyfile=self.keyfile)
    ssl.SSLError: [X509: KEY_VALUES_MISMATCH] key values mismatch (_ssl.c:3895)
    

    尝试使用 redis-cli 按如下命令连接,发送命令会自动断连,也是错了

    redis-cli -p 6666 --cert ./server.crt --key ./server.key --cacert ./ca.crt
    

    搞不是太懂本地自签证书挂服务是个什么原理,正常来说 ssl 不是私钥自己持有,公钥互换公开么。服务端要求输入 keyfile 还能理解,为什么客户端也要输入 keyfile ?但是我试了试客户端把公私钥反过来照样连不上啊

    8 条回复    2023-03-28 10:44:36 +08:00
    yaott2020
        1
    yaott2020  
       2023-03-25 16:04:57 +08:00 via Android
    你先搞清楚证书认证机制
    adoal
        2
    adoal  
       2023-03-25 16:08:19 +08:00
    客户端证书是服务器验证客户端身份用的,可以通俗类比为银行的 USB key ,在你这种情况下似乎并不需要。
    Richard14
        3
    Richard14  
    OP
       2023-03-25 17:24:14 +08:00
    @adoal 我也觉得不需要,既然 ca 签发的证书,客户端有 ca 就行了吧。。但是如果注释剩下两个只留 ca 选项的话一样会报错
    ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate (_ssl.c:997)
    yinmin
        4
    yinmin  
       2023-03-25 20:05:50 +08:00
    你要用 ca 再做一套 client.crt 和 client.key ,redis-cli 使用 client.crt 、client.key 、ca.crt 这 3 个文件
    NoirStrike
        5
    NoirStrike  
       2023-03-25 23:10:39 +08:00
    redis 不懂
    看你这配置猜测是双向验证的 那样得折腾两套证书 4F 已经说了
    Richard14
        6
    Richard14  
    OP
       2023-03-26 20:06:19 +08:00
    @NoirStrike
    @yinmin
    听起来很有道理,但是试了一下重新生成了一套公私钥发现还是连不上。。。

    提示 ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate (_ssl.c:997)
    yinmin
        7
    yinmin  
       2023-03-26 21:15:40 +08:00
    这个错误是指 redis 服务器的证书配置有问题。你用 ca 再做一套新的 server.crt 和 server.key 。

    启动 redis 服务器用下面这个参数:
    redis-server --tls-port 6666 --port 0 --tls-cert-file ./server.crt --tls-key-file ./server.key --tls-ca-cert-file ./ca.crt

    客户端用这个测试命令:
    redis-cli --tls -p 6666 --cert ./client.crt --key ./client.key --cacert ./ca.crt
    Richard14
        8
    Richard14  
    OP
       2023-03-28 10:44:36 +08:00
    @yinmin 我这么操作了还是连不上,后来感觉是自己生成的证书有问题,从网上找了个生成证书的脚本生成出来,然后再按这个配置操作就能正常连上了。

    但是目前有个问题是,redis-cli 用上面的--tls 命令能正常连上并发送 ping/pong ,说明服务端正常工作,我用 python 客户端的话还是连不上

    命令是
    conn = redis.Redis(
    host='localhost',
    port=6666,
    ssl=True,
    ssl_certfile='client.crt',
    ssl_keyfile='client.key',
    ssl_cert_reqs="required",
    ssl_ca_certs='ca.crt',
    )

    报错提示
    File "C:\Program Files\Python310\lib\ssl.py", line 975, in do_handshake
    self._sslobj.do_handshake()

    ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: certificate signature failure (_ssl.c:997)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5898 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 01:57 · PVG 09:57 · LAX 17:57 · JFK 20:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.