使用 Python 连接 Redis,想用自签证书启用 tls 协议报错

2023-03-25 15:41:44 +08:00
 Richard14

用的 python 库是 redis-py

Redis 那边不太清楚配置正确没有,但是总归是正常跑起来提供服务了,但是客户端这边连接总是提示失败,大神帮忙看看哪里的问题。

我的步骤:

1.openssl 生成一个 rsa2048 的随机 key ,
2.将该 key 计算成公钥并包装成 CA 证书:ca.crt
3.openssl 再生成一个随机 key: server.key
4.生成请求证书文件
5.用刚才的 ca 证书生成一个认证后的证书:server.crt

用这三个文件启动 redis 的 tls 是成功了,但是 redis-py 客户端输入同样三个文件,连接会报错

conn = redis.Redis(
    host='localhost',
    port=6666,
    ssl=True,
    ssl_certfile='server.crt',
    ssl_keyfile='server.key',
    ssl_cert_reqs="required",
    ssl_ca_certs='ca.crt'
)

错误提示

File "C:\Program Files\Python310\lib\site-packages\redis\asyncio\connection.py", line 1038, in get
    context.load_cert_chain(certfile=self.certfile, keyfile=self.keyfile)
ssl.SSLError: [X509: KEY_VALUES_MISMATCH] key values mismatch (_ssl.c:3895)

尝试使用 redis-cli 按如下命令连接,发送命令会自动断连,也是错了

redis-cli -p 6666 --cert ./server.crt --key ./server.key --cacert ./ca.crt

搞不是太懂本地自签证书挂服务是个什么原理,正常来说 ssl 不是私钥自己持有,公钥互换公开么。服务端要求输入 keyfile 还能理解,为什么客户端也要输入 keyfile ?但是我试了试客户端把公私钥反过来照样连不上啊

1854 次点击
所在节点    Python
8 条回复
yaott2020
2023-03-25 16:04:57 +08:00
你先搞清楚证书认证机制
adoal
2023-03-25 16:08:19 +08:00
客户端证书是服务器验证客户端身份用的,可以通俗类比为银行的 USB key ,在你这种情况下似乎并不需要。
Richard14
2023-03-25 17:24:14 +08:00
@adoal 我也觉得不需要,既然 ca 签发的证书,客户端有 ca 就行了吧。。但是如果注释剩下两个只留 ca 选项的话一样会报错
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate (_ssl.c:997)
yinmin
2023-03-25 20:05:50 +08:00
你要用 ca 再做一套 client.crt 和 client.key ,redis-cli 使用 client.crt 、client.key 、ca.crt 这 3 个文件
NoirStrike
2023-03-25 23:10:39 +08:00
redis 不懂
看你这配置猜测是双向验证的 那样得折腾两套证书 4F 已经说了
Richard14
2023-03-26 20:06:19 +08:00
@NoirStrike
@yinmin
听起来很有道理,但是试了一下重新生成了一套公私钥发现还是连不上。。。

提示 ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate (_ssl.c:997)
yinmin
2023-03-26 21:15:40 +08:00
这个错误是指 redis 服务器的证书配置有问题。你用 ca 再做一套新的 server.crt 和 server.key 。

启动 redis 服务器用下面这个参数:
redis-server --tls-port 6666 --port 0 --tls-cert-file ./server.crt --tls-key-file ./server.key --tls-ca-cert-file ./ca.crt

客户端用这个测试命令:
redis-cli --tls -p 6666 --cert ./client.crt --key ./client.key --cacert ./ca.crt
Richard14
2023-03-28 10:44:36 +08:00
@yinmin 我这么操作了还是连不上,后来感觉是自己生成的证书有问题,从网上找了个生成证书的脚本生成出来,然后再按这个配置操作就能正常连上了。

但是目前有个问题是,redis-cli 用上面的--tls 命令能正常连上并发送 ping/pong ,说明服务端正常工作,我用 python 客户端的话还是连不上

命令是
conn = redis.Redis(
host='localhost',
port=6666,
ssl=True,
ssl_certfile='client.crt',
ssl_keyfile='client.key',
ssl_cert_reqs="required",
ssl_ca_certs='ca.crt',
)

报错提示
File "C:\Program Files\Python310\lib\ssl.py", line 975, in do_handshake
self._sslobj.do_handshake()

ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: certificate signature failure (_ssl.c:997)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/927100

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX