我需要在一个基于Linux系统的嵌入式系统组件上实现一个基于Python的Web服务器:
class WebServer(http.server.HTTPServer)
...
...
为了启用ssl连接,服务器内创建了一个ssl上下文
self.ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
self.ssl_context.load_cert_chain(certfile=cert, keyfile=key)
self.ssl_context.verify_mode = ssl.CERT_REQUIRED
self.ssl_context.load_verify_locations(verifyCert)
在请求时会调用get_request方法:
def get_request(self):
request = self.socket.accept()
if self.ssl_context:
req_socket, addr = request
connstream = self.ssl_context.wrap_socket(req_socket, server_side=True)
return connstream, addr
else:
return request
wrap_socket方法用于将原始套接字包装成SSL套接字,返回SSL套接字。这就是提供SSL连接所需要的全部内容。
现在问题是:该解决方案是第一个实现,不安全。我们必须使用给定的硬件安全模块(HSM)来创建和存储证书和私钥。任何私钥都完全隐藏,永远不会离开模块。所有加密基元都必须直接在模块内执行。与HSM的接口是PKCS#11,供应商提供了动态中间件库。
我如何在Python下使用模块设置ssl上下文而不是原始ssl?我已经知道ssl基于OpenSSL,OpenSSL有PKCS#11引擎(libarary opensc-pkcs11.so)。供应商的中间件提供PKCS#11 API。
不幸的是,我没有计划如何将PKCS#11引擎集成到Python的ssl / OpenSSL中以及如何将所有事物绑定在一起。是否可以透明地使用PKCS#11而不是本机实现,如果是,我如何从Python激活它?此外,我将如何传递“certfile”和“keyfile”参数,因为两者都不再作为纯文件可用?实际上,我无法直接访问私钥;只有基于URL的引用可以用于在其中操作对象。
PyKCS11是否可以替代ssl?
我只需要知道解决此问题的基本路径。我可以自己找到所有细节。