Python 2.7.11 httplib2为SSL SNI网站

时间:2016-12-24 08:18:03

标签: python python-2.7 ssl httplib2 oauth2client

我有一个可通过多个网址访问的网站,其中2个网站有SSL证书,使用SSL SNI提供服务(整个服务使用nginx提供)。

只要两个证书都有效,此设置适用于浏览器以及监控网站的Python 2.7.11代码。

最近,其中一个证书已过期 - 未用于任何内容的证书(不适用于入站流量,不适用于监控)。这对访问该网站的浏览器没有影响,但它开始导致监视Python脚本失败,如下所示:

2016-12-24 02:09:49,351 - foo.__main__(140582120666944) - app_monitoring.py:90 - ERROR - Call to <lambda> Failed 1 times
Traceback (most recent call last):
  File "devops/monitoring/app_monitoring.py", line 88, in call_with_retry
    func(*args, **kwargs)
  File "devops/monitoring/app_monitoring.py", line 116, in <lambda>
    test_func=lambda: yapi_calls.test_api_on_all_datasets(Flags.yapi_url)),
  File "/usr/src/app/system_tests/yapi_calls.py", line 158, in test_api_on_all_datasets
    datasets = send(yapi_url, 'list_datasets', {})
  File "/usr/src/app/system_tests/yapi_calls.py", line 48, in send
    return gcloud.get_yapi(yapi_url).execute(api_call, req)
  File "/usr/src/app/cloudapi/yapi.py", line 23, in execute
    return self._execute(api_call, req, True)
  File "/usr/src/app/cloudapi/yapi.py", line 36, in _execute
    headers=headers)
  File "/usr/local/lib/python2.7/dist-packages/oauth2client/client.py", line 631, in new_request
    redirections, connection_type)
  File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1609, in request
    (response, content) = self._request(conn, authority, uri, request_uri, method, body, headers, redirections, cachekey)
  File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1351, in _request
    (response, content) = self._conn_request(conn, request_uri, method, body, headers)
  File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1272, in _conn_request
    conn.connect()
  File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1059, in connect
    raise SSLHandshakeError(e)
SSLHandshakeError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)

注意:我有一个有效的证书和一个过期的证书,问题是由于过期的证书而引发了异常,即使我通过带有效证书的URL。

我使用requests进行了检查,并且访问&#34;好&#34;没有问题URL,虽然我访问过期的URL时收到预期的SSL错误 - 所以我怀疑这是特定于httplib2处理SNI证书的问题。

不幸的是,我无法在此流程中切换到requests,因为这是一个外部库(在堆栈跟踪中可见 - oauth2client)。

除了安装新的有效SNI证书(或转换为非SNI证书)之外 - 我还能做些什么吗?

更新:我找到了适用于此案例的解决方法。

使用nginx提供SSL SNI时,仍然需要设置默认证书。 事实证明,在这种情况下,默认证书是过期的证书。 通过将默认证书更改为有效证书,错误就消失了。

这种解决方法让我觉得httplib2 SSL SNI实施中存在一个错误 - 它似乎需要验证默认证书,即使它不是证书请求域名。

0 个答案:

没有答案
相关问题
最新问题