如何在没有 (L)GPL 库的情况下在 Python 中创建双重身份验证 HTTPS 客户端？

Question

客户端和服务器都是内部的，各自都有一个由内部CA签名的证书和CA证书。我需要客户端根据服务器拥有的 CA 证书来验证服务器的证书。它还应该将其证书发送到服务器进行身份验证。

urllib2手册说不执行服务器身份验证。 PycURL 是一个自然的替代方案，但其许可证尚未获得批准。我还希望不必从源代码编译库，而是使用 RPM。

我浏览了很多库，例如 requests、httplib2，但没有看到我需要什么。还有 ssl 模块，但如果不是绝对必须的话，我不想自己实现 http。

RHEL 5.7 上的 Python 2.6

Answer 1

好吧，获胜者（几乎）是 httplib2 v0.7。从该版本开始支持SSL证书认证。这是示例代码，

import httplib2
client = httplib2.Http(ca_certs='ca.crt')
client.add_certificate(key='client_private_key.pem', cert='cert_client.pem', domain='')
headers, resp = client.request(query)

请注意 domain='' 参数，否则它对我不起作用。

附言。不幸的是，这个简单的解决方案对我不起作用，因为我忘记提及额外的要求 - 为 RHEL 5.7 和 RPM 安装 RPM。 Python 2.6。

Answer 2

Twisted Python 是一个可以满足您需要的库，尽管我不确定 MIT 许可证是否适合您想。 GPL 是一个非常具体的许可证，希望您不是指“所有开源许可证”。

有关 SSL 示例，请参阅 http://twistedmatrix.com/documents/current/core/ howto/ssl.html。根据您的描述，该页面上的最后几个示例特别相关。 Twisted 使用 PyOpenSSL (docs），它已获得 Apache 许可证的许可。您也可以考虑直接使用 PyOpenSSL。

Answer 3

更新：如果 requests 之前不支持客户端证书，现在支持，前提是本地证书的私钥（如果有）是未加密：

>>> requests.get('https://FOO.BAR.BAZ/', cert=('/path/client.cert', '/path/client.key'))
<Response [200]>