如何使 Python ssl 模块使用内存中的数据而不是传递文件路径？

Question

我想要做什么以及为什么需要一段时间来解释的完整解释。基本上，我想在公共分布式应用程序中使用私有 SSL 连接，而不是分发我的私有 ssl 密钥，因为这否定了目的！ IE。我想要没有人能看到的安全远程数据库操作——包括客户端。

我的核心问题是：如何让 Python ssl 模块使用内存中包含 ssl pem 文件内容的数据而不是硬文件系统路径？

类 SSLSocket 的构造函数调用 load_verify_locations(ca_certs) 和 load_cert_chain(certfile, keyfile)，因为它们是 .pyd 文件，所以我无法追踪它们。在那些黑匣子中，我假设这些文件被读入内存。我怎样才能使过程短路并直接传递数据？ （也许换掉 .pyd？...）

我的其他想法是：我可以使用io.StringIO 创建一个虚拟文件，然后传递文件描述符。我已经将该概念与将采用描述符而不是路径的类一起使用。不幸的是，这些类不是这样设计的。

或者，也许使用虚拟文件系统/内存驱动器？不过这可能会很麻烦，因为我需要它是跨平台的。另外，如果有人可以从任何外部程序访问这些路径，那可能会否定我正在尝试做的事情......

我想我可以将它们作为真实文件保存，但将它们“隐藏”在文件系统中的某个位置。

我不可能是第一个遇到这个问题的人。

更新

我找到了“黑匣子”的来源...

https://github.com/python/cpython/blob/master/Modules/_ssl.c

它们按预期工作。他们只是从路径中读取文件内容，但你必须深入到 C 层才能做到这一点。

我可以用 C 编写代码，但我从未尝试过重新编译底层 Python 源代码。看起来也许我应该按照https://devguide.python.org/ 此处的指示来提取 Python 存储库并进行更改。我想我可以将我的更新提交给 Python 社区，看看他们是否想像我描述的那样制作一个新的标准化功能......看起来还有很多工作......

Answer 1

这需要一些努力，但事实上，我确实按照我建议的方式解决了这个问题。我修改了 _ssl.c Python 模块/扩展中的底层代码，并将 Python 重新构建为一个整体。在弄清楚从源代码构建 Python 的过程之后，我必须了解如何在 Python 和 C 之间传递变量的详细信息，并且我需要深入研究 OpenSSL（Python 模块是一个包装器）。

幸运的是，OpenSSL 已经具有用于此目的的函数，因此只需更换 Python 尝试将文件路径传递到 C 的方式，而是绕过文件读取过程并直接跳转到实现直接使用 ca/cert/key 数据。

目前，我只为 Windows 执行此操作。由于我最终要创建一个跨平台程序，因此我将不得不为我将支持的其他平台重复构建过程——所以这很麻烦。考虑一下你有多想要这个，如果你要自己去追求它......

请注意，当我重建 Python 时，我并没有将它用作我的实际 Python 安装。我只是把它放在一边。

这个过程非常棒的一点是，在重建之后，我需要做的就是将单个新的 _ssl.pyd 放到我的工作目录中。有了该文件，我就可以传递我的直接证书数据。如果我删除它，我可以传递正常的文件路径。它将使用普通的 Python 源代码，或者如果 .pyd 文件只是放在程序的目录中，则隐式使用覆盖。