如何使用 LWP::UserAgent 接受自签名证书

【问题标题】:How to accept self-signed certificates with LWP::UserAgent如何使用 LWP::UserAgent 接受自签名证书
【发布时间】:2018-05-19 15:15:59
【问题描述】:

我正在尝试设置使用 HTTPS 的 node.js 服务器。然后我将在 Perl 中编写一个脚本来向服务器发出 HTTPS 请求并测量往返的延迟。

这是我的 node.js:

var express = require('express');
var https = require('https');
var fs = require('fs');

var key = fs.readFileSync('encrypt/rootCA.key');
var cert = fs.readFileSync('encrypt/rootCA.pem');

// This line is from the Node.js HTTPS documentation.
var options = {
  key: key,
  cert: cert
};

https.createServer(options, function (req, res) {
    res.writeHead(200);
    res.end("hello world - https\n");
}).listen(8088);

密钥/证书生成如下:

openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

这是我的 Perl 脚本:

#!/usr/bin/perl
use LWP::UserAgent;


my $ua = LWP::UserAgent->new;
my $req = HTTP::Request->new(GET => 'https://127.0.0.1:8080');
my $res = $ua->request($req);

if ($res->is_success) {
  print $res->as_string;
} else {
  print "Failed: ", $res->status_line, "\n";
}

返回错误:

Failed: 500 Can't verify SSL peers without knowing which Certificate Authorities to trust

node.js 文档描述了如何设置 HTTPS 服务器,但对生成主证书和中间证书的内容含糊不清。

https://medium.com/netscape/everything-about-creating-an-https-server-using-node-js-2fc5c48a8d4e

【问题讨论】:

  • 所以您的问题实际上是“如何配置 LWP::UserAgent 以接受 HTTPS 的自签名证书?”
  • 实际上是的。你知道怎么做吗?
  • 我明白了。感谢@amon 为我指明了正确的方向

标签: node.js perl networking https lwp-useragent


【解决方案1】:

此类问题的典型答案是完全禁用证书验证。但是,这是完全不安全的,并且基本上禁用了 HTTPS 提供的大部分保护。 如果验证被完全禁用,中间人攻击者可以使用任意证书拦截连接并嗅探和修改数据。因此,不要这样做。

处理此类证书的正确方法是将这些证书添加为受信任的。这可以通过SSL_ca_file 参数来完成:

my $ua = LWP::UserAgent->new;
$ua->ssl_opts(SSL_ca_file => 'rootCA.pem');
$ua->get('https://127.0.0.1:8080');

通过将自签名服务器证书明确信任为 CA,它将不再抛出“证书验证失败”。

但是,除非您的服务器证书实际颁发给“127.0.0.1”,否则您现在将收到“主机名验证失败”,因为证书的主题与 URL 的域不匹配。这可以通过设置预期的主机名来解决:

my $ua = LWP::UserAgent->new;
$ua->ssl_opts(
    SSL_ca_file => 'rootCA.pem',
    SSL_verifycn_name => 'www.example.com',
);
$ua->get('https://127.0.0.1:8080');

请注意,SSL_ca_file 需要自签名证书将 CA 标志设置为 true,即该证书是可用于颁发其他证书的 CA 证书。如果您的证书不是这种情况,或者您只想接受特定证书,无论它是否已过期、被吊销、与主机名不匹配等,您都可以使用证书的指纹进行验证。

my $ua = LWP::UserAgent->new;
$ua->ssl_opts(SSL_fingerprint => 'sha1$9AA5CFED857445259D90FE1B56B9F003C0187BFF')
$ua->get('https://127.0.0.1:8080');

这里的指纹和openssl x509 -noout -in rootCA.pem -fingerprint -sha1一样,只是前面加了算法(sha1$...),去掉了冒号。

【讨论】:

    【解决方案2】:

    要使 LWP::UserAgent 忽略服务器证书,请使用以下配置:

    my $ua = LWP::UserAgent->new;
$ua->ssl_opts(
    SSL_verify_mode => IO::Socket::SSL::SSL_VERIFY_NONE, 
    verify_hostname => 0
);

    【讨论】:

    • 这不仅仅是接受自签名证书。这是接受 any 证书,因此 使连接对中间攻击中的任意人开放
    • @SteffenUllrich 这就是接受自签名证书的作用,是的。
    • @duskwuff: “这就是接受自签名证书的作用,是的。” - 不,您可以以安全的方式接受特定的自签名证书,即无需完全禁用验证,从而接受此处所做的任意证书。这也很容易。看我的回答。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2010-09-25
    • 2015-12-25
    • 2022-10-17
    • 1970-01-01
    • 2022-01-01
    • 2010-11-20
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode