我的目標是實作第三方網站證書的 SHA1 指紋。我可以使用openssl命令列成功獲取它,但是當我嘗試使用 python 代碼實作它時,它并沒有變得相同。使用 python 代碼獲取的 SHA1 指紋與通過 openssl 獲取的指紋完全不同。
openssl 步驟 -->
openssl s_client -servername token.actions.githubusercontent.com -showcerts -connect token.actions.githubusercontent.com:443
上面的命令輸出包含鏈和根證書;
Certificate chain
0 s:/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=*.actions.githubusercontent.com
i:/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1
-----BEGIN CERTIFICATE-----
MIIG9jCCBd6gAwIBAgIQCFCR4fqbkQJJbzQZsc87qzANBgkqhkiG9w0BAQsFADBP
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSkwJwYDVQQDEyBE
aWdpQ2VydCBUTFMgUlNBIFNIQTI1NiAyMDIwIENBMTAeFw0yMjAxMTEwMDAwMDBa
將帶有擴展名的鏈證書保存.crt為 MaingithubOIDC.crt 并運行以下命令給出 SHA1 指紋;
? openssl x509 -in MaingithubOIDC.crt -fingerprint -noout
SHA1 Fingerprint=15:E2:91:08:71:81:11:E5:9B:3D:AD:31:95:46:47:E3:C3:44:A2:31
參考鏈接 - https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc_verify-thumbprint.html
Python 代碼(版本 3.8/3.9)-->
import ssl
import socket
import hashlib
addr = 'token.actions.githubusercontent.com'
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.settimeout(1)
wrappedSocket = ssl.wrap_socket(sock)
try:
wrappedSocket.connect((addr, 443))
print (wrappedSocket)
except:
response = False
else:
der_cert = wrappedSocket.getpeercert(True)
pem_cert = ssl.DER_cert_to_PEM_cert(wrappedSocket.getpeercert(True))
print(pem_cert)
#Print SHA1 Thumbprint
thumb_sha1 = hashlib.sha1(der_cert).hexdigest()
print("SHA1: " thumb_sha1)
Python代碼輸出;
SHA1: 55a7ef500a3a99f64c99c665daaf3f07403cff3d
因此,SHA1 指紋與使用openssl. 我在 python 代碼中遺漏了什么嗎?
uj5u.com熱心網友回復:
問題不在于證書中的指紋計算錯誤,而是您獲得了錯誤的證書。有問題的服務器是一個多域設定,它將根據server_nameTLS 握手中的給定回傳不同的證書 - 請參閱Server Name Indication。
以下代碼不會提供server_name,這會導致回傳證書,而*.azureedge.net不是代碼獲取的結果:*.actions.githubusercontent.comopenssl s_client
wrappedSocket = ssl.wrap_socket(sock)
try:
wrappedSocket.connect((addr, 443))
為了解決這個問題,server_name需要給出:
ctx = ssl.create_default_context()
wrappedSocket = ctx.wrap_socket(sock,
server_hostname='token.actions.githubusercontent.com')
try:
wrappedSocket.connect((addr, 443))
通過此更改,預期的證書由服務器發送,并在其上正確計算指紋。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/419044.html
標籤: