Oto co mam w tej chwili. Za pomocą openssl, teraz mam te pliki: ca.crt, ca.key, ca.srl, server.crt, server.csr, server.key.
Ja po tej lekcji: https://carolinafernandez.github.io/development/2017/09/13/HTTPS-and-trust-chain-in-Flask
I teraz należy to jako serwera:
from flask import Flask, request
from flask_restful import Resource, Api, reqparse
import psycopg2
import ssl
import sys
app = Flask(__name__)
api = Api(app)
# TODO: https security
HTTPS_ENABLED = True
VERIFY_USER = True
API_HOST = "0.0.0.0"
API_PORT = 8000
API_CRT = "server.crt"
API_KEY = "server.key"
API_CA_T = "ca.crt"
context = None
if(HTTPS_ENABLED):
context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
if(VERIFY_USER):
context.verify_mode = ssl.CERT_REQUIRED
context.load_verify_locations(API_CA_T)
try:
context.load_cert_chain(API_CRT, API_KEY)
except Exception as e:
sys.exit("Error starting server: {}".format(e))
...[implementation of api]...
if __name__ == '__main__':
app.run(ssl_context=context, host=API_HOST, port=API_PORT, debug=True)
Na komputerze klienta, mam ten kod. Ja również skopiowane ca.crt na ten samochód:
import os
import requests
import ssl
def test():
response = requests.get("https://[url of server]:8000/helloworld", verify='ca.crt')
#response = requests.get("http://[url of server]:8000/helloworld")
print(response.text);
def print_version():
print(ssl.OPENSSL_VERSION)
if __name__ == "__main__":
test()
#print_version()
Po uruchomieniu serwera api i późniejszego uruchomienia kodu po stronie klienta otrzymuję ten komunikat o błędzie na komputerze klienckim:
requests.exceptions.SSLError: HTTPSConnectionPool(host='[url of server]', port=8000): Max retries exceeded with url: /helloworld (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate (_ssl.c:1123)')))
Cel ten polega na tym, żeby u mnie była bezpieczna komunikacja między serwerami. W dającej się przewidzieć przyszłości to będzie dosłownie jeden serwer, który wysyła żądania https na inny serwer. Używam nieprawidłowy format pliku dla wszystkiego, co klient musi użyć do sprawdzenia? Ja w żaden sposób nie ekspert w TLS, więc ja naprawdę nie widzę różnicy pomiędzy wszystkimi rozszerzeniami plików (na przykład, widziałem plik .pem, używany w verify).
Wewnątrz linki, które pokazywałem wcześniej, próbowałem też stworzyć plik client.pem i używać go w polu kontrola.