aiohttp httpsサーバーとクライアントのセットアップ方法は?
サーバーとワーカー間のオープンネットワークを介して渡された後、データが変更されないように保護する方法を学習しようとしています
私の頭の中では、それは次のようなものに従うべきだと考えていました:
_|server|---send_job----->|worker|
| |<--send_results--| |
| | | |
| |-send_kill_req-->| |
_明らかに、誰かが私の_send_job_を改ざんして悪質なことをしたくはありません。また、誰かが私の結果を覗き見したくないのです。
だから私はaiohttpを実装しようとしている非常に単純なsslクライアント/サーバー設定を持っていますが、完全に失われています。
以下は私が試した最も基本的なものですが、自分のssl証明書を実装することも試みました:
_openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout domain_srv.key -out domain_srv.crt
_documentation をフォローするだけでなく、まだgetで応答を返すことはできません。
これを機能させるには、_ssl_context_を適切に実装するにはどうすればよいですか?
_server.py_
_from aiohttp import web
import msgpack
import ssl
async def handle(request):
name = request.match_info.get('name', "Anonymous")
text = "Hello, " + name
return web.Response(text=text)
app = web.Application()
app.add_routes([web.get('/', handle),
web.get('/{name}', handle)])
ssl_context = ssl.create_default_context(ssl.Purpose.SERVER_AUTH)
web.run_app(app, ssl_context=ssl_context)
__client.py_ import aiohttp import asyncio import ssl
_async def main():
sslcontext = ssl.create_default_context(purpose=ssl.Purpose.CLIENT_AUTH)
async with aiohttp.ClientSession() as session:
async with session.get("https://0.0.0.0:8443", ssl=sslcontext) as response:
html = await response.read()
print(html)
loop = asyncio.get_event_loop()
loop.run_until_complete(main())
_- 1つのウィンドウで_
python3 server.py_を実行する - 別のウィンドウで_
python3 client.py_を実行する
その後、通常は次のようになります:
_Traceback (most recent call last):
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/connector.py", line 822, in _wrap_create_connection
return await self._loop.create_connection(*args, **kwargs)
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/asyncio/base_events.py", line 804, in create_connection
sock, protocol_factory, ssl, server_hostname)
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/asyncio/base_events.py", line 830, in _create_connection_transport
yield from waiter
ConnectionResetError
The above exception was the direct cause of the following exception:
Traceback (most recent call last):
File "client.py", line 14, in <module>
loop.run_until_complete(main())
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/asyncio/base_events.py", line 468, in run_until_complete
return future.result()
File "client.py", line 9, in main
async with session.get("https://0.0.0.0:8443", ssl=sslcontext) as response:
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/client.py", line 843, in __aenter__
self._resp = await self._coro
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/client.py", line 366, in _request
timeout=timeout
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/connector.py", line 445, in connect
proto = await self._create_connection(req, traces, timeout)
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/connector.py", line 757, in _create_connection
req, traces, timeout)
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/connector.py", line 879, in _create_direct_connection
raise last_exc
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/connector.py", line 862, in _create_direct_connection
req=req, client_error=client_error)
File "/home/mEE/miniconda3/envs/py3/lib/python3.6/site-packages/aiohttp/connector.py", line 829, in _wrap_create_connection
raise client_error(req.connection_key, exc) from exc
aiohttp.client_exceptions.ClientConnectorError: Cannot connect to Host 0.0.0.0:8443 ssl:<ssl.SSLContext object at 0x7fe4800d2278> [None]
_解決:
これは2つの問題でした。
私はopensslで何をしているのか分かりませんでした、リクエストライブラリはこれを理解するのに役立ちました!
_
import requests requests.get("https://0.0.0.0:8443", verify="domain_srv.crt") SSLError: HTTPSConnectionPool(Host='0.0.0.0', port=8443): Max retries exceeded with url: / (Caused by SSLError(CertificateError("hostname '0.0.0.0' doesn't match None",),))_結局のところ、openssl証明書を作成するときにデフォルトにした行は実際に重要でした。に似た、もう少し正しい(ただし、おそらくまだ間違っている)構成
_
Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:. Locality Name (eg, city) []:. Organization Name (eg, company) [Internet Widgits Pty Ltd]:. Organizational Unit Name (eg, section) []:. Common Name (e.g. server FQDN or YOUR name) []:0.0.0.0 Email Address []:._私を結果に導きました:
_
import requests requests.get("https://0.0.0.0:8443", verify="domain_srv.crt") SubjectAltNameWarning: Certificate for 0.0.0.0 has no `subjectAltName`, falling back to check for a `commonName` for now. This feature is being removed by major browsers and deprecated by RFC 2818. (See https://github.com/shazow/urllib3/issues/497 for details.)_'subjectAltName'は、追加するのが少し難しいようで、単純なコマンドよりも多くの作業が必要です。 this のようなガイドに従ってください。試してみて、そのエラーがなくなる場合。
@Andrejが述べたように、_
ssl.Purpose.CLIENT/SERVER_AUTH_を誤って使用していたと思います。これを切り替えて(以下で説明します)、他のいくつかの変更を加えたところ、正しい応答が得られました。それだけは言いますが、_ssl.Purpose_はまだ完全に理解できていませんが、少なくとも今のところ私が扱えるものはあります。残りの部分はすぐにわかります。
_client.py__
import aiohttp import asyncio import ssl async def main(): sslcontext = ssl.create_default_context(purpose=ssl.Purpose.SERVER_AUTH, cafile='domain_srv.crt') async with aiohttp.ClientSession() as session: async with session.get("https://0.0.0.0:8443/JOHNYY", ssl=sslcontext) as response: html = await response.read() print(html) loop = asyncio.get_event_loop() loop.run_until_complete(main())__
server.py__
from aiohttp import web import ssl async def handle(request): name = request.match_info.get('name', "Anonymous") text = "Hello, " + name return web.Response(text=text) app = web.Application() app.add_routes([web.get('/', handle), web.get('/{name}', handle)]) ssl_context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH) ssl_context.load_cert_chain('domain_srv.crt', 'domain_srv.key') web.run_app(app, ssl_context=ssl_context)_commandline_
>python3 server.py # Switch to a new window/pane >python3 client.py b'Hello, JOHNYY'_
[〜#〜] edit [〜#〜]:このタイプの問題に取り組んでいる人のためにアップデートを投稿したかっただけです。 python暗号化ライブラリを使用すると、crt/keyファイルを生成する優れた方法になると思うので、このテンプレートを自由に使用/変更してください(これらがベストプラクティス):
_#!/usr/bin/env python
"""
stuff for network security
"""
import socket
import datetime
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography import x509
from cryptography.x509.oid import NameOID
from cryptography.hazmat.primitives import hashes
import attr
@attr.s(auto_attribs=True)
class Netsec:
hostname: str = attr.Factory(socket.gethostname)
out_file_name: str = "domain_srv"
def generate_netsec(self):
# GENERATE KEY
key = rsa.generate_private_key(
public_exponent=65537,
key_size=2048,
backend=default_backend(),
)
with open(f"{self.out_file_name}.key", "wb") as f:
f.write(key.private_bytes(
encoding=serialization.Encoding.PEM,
format=serialization.PrivateFormat.TraditionalOpenSSL,
encryption_algorithm=serialization.NoEncryption(),
))
subject = issuer = x509.Name([
x509.NameAttribute(NameOID.COUNTRY_NAME, u"US"),
x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, u"CA"),
x509.NameAttribute(NameOID.LOCALITY_NAME, u"Wala Wala"),
x509.NameAttribute(NameOID.ORGANIZATION_NAME, u"A place"),
x509.NameAttribute(NameOID.COMMON_NAME, self.hostname),
])
cert = x509.CertificateBuilder().subject_name(
subject
).issuer_name(
issuer
).public_key(
key.public_key()
).serial_number(
x509.random_serial_number()
).not_valid_before(
datetime.datetime.utcnow()
).not_valid_after(
# Our certificate will be valid for 5 years
datetime.datetime.utcnow() + datetime.timedelta(days=365*5)
).add_extension(
x509.SubjectAlternativeName([
x509.DNSName(u"localhost"),
x509.DNSName(self.hostname),
x509.DNSName(u"127.0.0.1")]),
critical=False,
# Sign our certificate with our private key
).sign(key, hashes.SHA256(), default_backend())
with open(f"{self.out_file_name}.crt", "wb") as f:
f.write(cert.public_bytes(serialization.Encoding.PEM))
_証明書を作成していますが、SSLチェーンにロードしていません。そして、ssl_contextの作成をssl.Purpose.SERVER_AUTHからssl.Purpose.CLIENT_AUTHに変更します。
from aiohttp import web
import ssl
async def handle(request):
name = request.match_info.get('name', "Anonymous")
text = "Hello, " + name
return web.Response(text=text)
app = web.Application()
app.add_routes([web.get('/', handle),
web.get('/{name}', handle)])
ssl_context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
ssl_context.load_cert_chain('domain_srv.crt', 'domain_srv.key')
web.run_app(app, ssl_context=ssl_context)
サーバーを実行すると、クライアントは接続時に印刷します。
b'Hello, Anonymous'