本文旨在帮助读者解决在使用 Python 3 与 Splunk 集成时遇到的证书验证失败问题。我们将深入探讨如何将根证书和中间证书添加到受信任的证书存储中,从而避免 `SSLCertVerificationError` 错误,并提供一种更加安全和可持续的解决方案,而不是简单地绕过证书检查。
在使用 Python 与 Splunk 集成,特别是通过 HTTPS 协议从外部源拉取数据时,经常会遇到证书验证失败的问题。 这通常表现为 SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1106)')) 错误。 该错误表明 Python 无法验证服务器提供的 SSL 证书,通常是因为证书是自签名,或者证书链中缺少必要的中间证书。
理解证书链和信任关系
要解决这个问题,首先需要理解 SSL 证书链的工作原理。 一个完整的证书链通常包括:
立即学习“Python免费学习笔记(深入)”;
- 服务器证书: 由服务器提供,用于证明服务器的身份。
- 中间证书: 由证书颁发机构 (CA) 签发,用于连接服务器证书和根证书。 可能存在多个中间证书。
- 根证书: CA 的根证书,通常已经预装在操作系统或应用程序的受信任证书存储中。
当客户端(例如 Python 脚本)连接到服务器时,服务器会提供其证书以及任何必要的中间证书。 客户端需要验证整个证书链,直到根证书,以确认服务器的身份是可信的。
解决方案:添加根证书和中间证书到信任存储
最可靠的解决方案是将根证书和所有必要的中间证书添加到系统的受信任证书存储中。 具体步骤如下:
获取根证书和中间证书: 联系证书颁发机构或服务器管理员,获取服务器证书所使用的根证书和所有中间证书。 这些证书通常以 .crt 或 .pem 格式提供。
确定 Python 使用的证书存储: Python 使用 ssl 模块进行 SSL/TLS 连接。 默认情况下,它会使用操作系统的证书存储。 但是,可以通过设置环境变量或在代码中指定证书存储的位置。
-
添加证书到信任存储: 将获取的根证书和中间证书添加到 Python 使用的证书存储中。 具体方法取决于操作系统和 Python 的配置。
- Linux: 通常可以将证书复制到 /etc/ssl/certs/ 目录,并运行 update-ca-certificates 命令。
sudo cp your_root_ca.crt /etc/ssl/certs/ sudo cp your_intermediate_ca.crt /etc/ssl/certs/ sudo update-ca-certificates
- Windows: 可以使用 certutil 命令或证书管理器 (certmgr.msc) 来导入证书。
certutil -addstore root your_root_ca.crt certutil -addstore CA your_intermediate_ca.crt
- macOS: 可以使用 security 命令或钥匙串访问应用程序来导入证书。
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain your_root_ca.crt sudo security add-trusted-cert -d -r trustAsRoot -k /Library/Keychains/System.keychain your_intermediate_ca.crt
通过代码指定证书路径(可选): 如果无法修改系统级别的证书存储,可以在 Python 代码中指定证书路径。
import ssl
import requests
# 指定证书路径
cert_path = '/path/to/your/ca_bundle.pem' #包含根证书和中间证书的证书链文件
# 创建 SSL 上下文
context = ssl.create_default_context(cafile=cert_path)
# 使用 requests 库进行 HTTPS 请求
try:
response = requests.get('https://your_splunk_server', verify=cert_path) # 或者 verify=True, context=context
response.raise_for_status() # 检查HTTP状态码,如果不是200,抛出异常
print(response.content)
except requests.exceptions.RequestException as e:
print(f"Error: {e}")
注意事项和总结
- 证书链的完整性: 确保包含了所有必要的中间证书。 缺失任何一个中间证书都可能导致验证失败。
- 证书格式: 确保证书格式正确。 通常 .crt 和 .pem 格式都可以使用。
- 权限问题: 在添加证书到信任存储时,可能需要管理员权限。
- 更新证书: 定期检查证书是否过期,并及时更新。
- 避免绕过证书检查: 虽然可以通过设置 verify=False 来绕过证书检查,但这会带来安全风险,应尽量避免使用。
通过将根证书和中间证书添加到受信任的证书存储中,可以确保 Python 能够正确验证服务器的身份,从而解决 SSLCertVerificationError 错误,并建立安全可靠的连接。 这种方法比简单地禁用证书验证更安全,并且可以长期维护。 另外,如果在代码中指定证书路径,可以避免修改系统级别的证书存储,更加灵活。
