本文深入探讨 splunk 在使用 python v3 从外部源拉取数据时遇到的 ssl 证书验证失败问题,特别是“自签名证书链”错误。核心解决方案是识别并添加缺失的根证书和中间证书到 splunk 或 python 的信任存储中,确保构建完整的证书信任链,从而避免不安全的证书验证绕过,保障数据传输的安全性与稳定性。
问题剖析:SSL 证书验证失败的本质
当 Splunk 配置为通过其内置的 Python 环境(如 Python v3)从外部源拉取数据时,如果遇到 SSLCertVerificationError,并伴随 [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain 这样的错误信息,这表明 Python 无法验证目标服务器提供的 SSL/TLS 证书。
SSL/TLS 证书验证是一个信任链(Trust Chain)的过程。服务器会提供一个证书,这个证书通常由一个或多个中间证书颁发机构(Intermediate CA)签发,而这些中间证书又由一个根证书颁发机构(Root CA)签发。客户端(这里是 Python)需要从其信任的根证书列表开始,逐级向上验证,直到找到一个它信任的根证书。如果在这个链条中的任何环节出现问题,例如:
缺失证书: 客户端缺少信任链中的某个中间证书或根证书。自签名证书: 服务器使用了由内部或非公开 CA 签发的证书,而客户端的信任存储中没有这个 CA 的根证书。SSL 检查代理: 数据流经过了一个 SSL 检查代理,该代理解密并重新加密了流量,并使用其自身的 CA 证书重新签发了服务器证书。如果客户端不信任这个代理的 CA,验证就会失败。
self signed certificate in certificate chain 错误通常意味着 Python 在验证过程中遇到了一个它不认识的自签名证书,或者证书链中的某个环节是自签名的,而这个自签名证书的颁发者不在 Python 的信任列表中。
根源定位:信任链的缺失
Python 应用程序在进行 SSL/TLS 连接时,会依赖一个预设的信任存储来验证服务器证书。这个信任存储通常包含了一系列全球公认的根证书颁发机构的证书。如果目标服务器的证书是由内部 CA 签发,或者是由一个不被 Python 信任的中间 CA 签发,那么 Python 将无法完成信任链的验证,从而拒绝连接。
立即学习“Python免费学习笔记(深入)”;
对于 Splunk 而言,它通常运行在一个相对独立的环境中,其内置的 Python 解释器可能不会直接使用操作系统的全局证书信任存储。因此,即使操作系统层面已经信任了某个 CA 证书,Splunk 的 Python 环境可能仍然需要额外的配置。
解决方案核心:构建完整的信任链
解决 SSL 证书验证失败问题的根本方法是确保 Splunk 的 Python 环境能够访问到完整的证书信任链,即它需要信任签发服务器证书的所有根证书和中间证书。
步骤一:获取缺失的证书
首先,需要识别并获取导致验证失败的根证书和所有中间证书。
从目标服务器获取: 使用浏览器(如 Chrome、Firefox)访问目标服务,点击地址栏旁边的锁图标,查看证书信息,并导出根证书和所有中间证书(通常为 .pem 或 .crt 格式)。确保导出的是整个证书链,而不仅仅是服务器证书本身。从证书颁发机构获取: 如果是内部 CA,可以联系 IT 团队或证书管理员获取相应的根证书和中间证书。
步骤二:将证书添加到信任存储
获取到必要的 .pem 或 .crt 格式的证书文件后,需要将其添加到 Splunk 或 Python 的信任存储中。
方法一:针对 Splunk 内部 Python 环境的集成
Splunk 作为一个企业级平台,通常有其自身的证书管理机制,或者其内置的 Python 环境会使用特定的证书存储路径。
STORYD
帮你写出让领导满意的精美文稿
137 查看详情 合并证书文件: 将所有获取到的根证书和中间证书合并到一个 .pem 文件中。顺序通常是从中间证书到根证书,但许多库也能处理乱序。
# 假设你有名为 intermediate_ca.pem 和 root_ca.pem 的文件cat intermediate_ca.pem root_ca.pem > custom_ca_bundle.pem
Splunk 特定配置:Splunk Web UI 或 server.conf: 对于 Splunk 自身的 Web 接口或内部通信,Splunk 允许在 server.conf 中指定自定义的 CA 证书路径。但对于 Splunk 输入拉取外部数据,这通常不是直接作用于 Python 脚本的方式。Splunk 输入配置: 对于某些 Splunk 数据输入(如 HTTP Event Collector 或通用 HTTP 输入),可能会有参数允许指定自定义的 CA 证书路径,例如在 inputs.conf 中为某个输入指定 sslCertPath 或 sslRootCAPath。请查阅具体输入类型的 Splunk 文档。修改 Python certifi 捆绑: 许多 Python 应用程序(包括 Splunk 内部使用的库,如 requests)会依赖 certifi 包提供的根证书。你可以找到 Splunk 内部 Python 环境中 certifi 包的 cacert.pem 文件,并将你的自定义 CA 证书追加到其中。查找 certifi 路径:
# 假设 Splunk 的 Python 路径是 $SPLUNK_HOME/bin/python3$SPLUNK_HOME/bin/python3 -c "import certifi; print(certifi.where())"
这将输出 cacert.pem 文件的完整路径,例如 $SPLUNK_HOME/lib/python3.x/site-packages/certifi/cacert.pem。
追加证书:
cat custom_ca_bundle.pem >> $(SPLUNK_HOME)/lib/python3.x/site-packages/certifi/cacert.pem
注意: 直接修改 certifi 文件可能在 Splunk 升级时被覆盖,且可能影响其他依赖 certifi 的应用。这通常被视为一种临时或非最佳实践的解决方案。
方法二:系统级信任存储的更新(适用于全局影响)
如果 Splunk 的 Python 环境配置为使用操作系统的信任存储,或者希望影响系统上所有应用程序,可以更新系统级的信任存储。
Linux (Debian/Ubuntu 系列):
sudo cp custom_ca_bundle.pem /usr/local/share/ca-certificates/custom_ca_bundle.crtsudo update-ca-certificates
Linux (RHEL/CentOS 系列):
sudo cp custom_ca_bundle.pem /etc/pki/ca-trust/source/anchors/sudo update-ca-trust extract
Windows:通过 MMC (Microsoft Management Console) 导入证书到 “受信任的根证书颁发机构” 存储。运行 mmc。文件 -> 添加/删除管理单元 -> 证书 -> 添加 -> 计算机账户 -> 本地计算机 -> 完成。展开 “证书 (本地计算机)” -> “受信任的根证书颁发机构” -> “证书”。右键点击 “证书” -> 所有任务 -> 导入,然后按照向导导入你的 .pem 或 .crt 文件。
重要提示: 系统级更新可能不直接影响 Splunk 独立运行的 Python 环境,因为 Splunk 往往自带独立的 Python 运行时和库路径。优先考虑 Splunk 官方推荐的证书管理方式或针对其内置 Python 环境的修改。
方法三:在 Python 代码中显式指定证书路径(如果 Splunk 允许自定义脚本)
如果 Splunk 的数据输入允许你编写自定义 Python 脚本,并且这些脚本使用 requests 等库进行 HTTP 请求,你可以在代码中显式指定自定义 CA 证书捆绑包的路径。
import requests# 假设你的自定义 CA 证书捆绑包路径custom_ca_bundle_path = '/path/to/your/custom_ca_bundle.pem'try: response = requests.get('https://your-external-source.com/data', verify=custom_ca_bundle_path) response.raise_for_status() print("数据拉取成功:", response.text)except requests.exceptions.SSLError as e: print(f"SSL 证书验证失败: {e}")except requests.exceptions.RequestException as e: print(f"请求失败: {e}")
这种方法最灵活,但需要 Splunk 输入类型支持自定义 Python 脚本。
特殊情况:SSL 检查代理
如果你的网络环境中存在 SSL 检查代理(也称为 SSL 解密代理或中间人代理),它会拦截并解密所有出站 SSL 流量,然后使用自己的 CA 证书重新签发服务器证书,再加密并发送给客户端。在这种情况下,即使目标服务器的原始证书是有效的,Python 仍然会因为不信任代理的 CA 证书而报错。
解决方案: 除了添加原始服务器的根证书和中间证书外,你还需要获取并添加 SSL 检查代理的根证书到 Splunk 或 Python 的信任存储中。通常,网络管理员会提供这个代理的根证书。
注意事项与最佳实践
避免禁用证书验证: 尽管在 Python 中设置 verify=False 可以绕过证书验证,但这极不推荐在生产环境中使用。禁用验证会使你的应用程序面临中间人攻击的风险,严重损害数据传输的安全性。证书格式: 确保你使用的证书文件是 PEM 格式(通常以 —–BEGIN CERTIFICATE—– 开头)。如果证书是 DER 格式(通常是 .der 或 .cer),需要先将其转换为 PEM 格式。重启服务: 在修改了证书信任存储后,通常需要重启 Splunk 服务或相关的 Splunk 进程,以确保新的证书配置生效。定期审查和更新: 证书有有效期。确保定期审查和更新信任存储中的证书,以防止因证书过期而导致的服务中断。安全风险: 仅添加你完全信任的 CA 证书。将不可信的 CA 证书添加到信任存储会引入安全漏洞。
总结
Splunk 中 Python SSL 证书验证失败,尤其是“自签名证书链”问题,核心在于客户端未能完整信任服务器证书的颁发者。通过识别缺失的根证书和中间证书,并将其添加到 Splunk 或其内置 Python 环境的信任存储中,可以构建一个完整的信任链,从而安全、稳定地解决这一问题。在操作过程中,务必遵循最佳实践,避免采取不安全的绕过措施,并注意系统级与应用级证书配置的差异。
以上就是Splunk 中 Python SSL 证书验证失败:根源、解决策略与最佳实践的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/851707.html
微信扫一扫 
支付宝扫一扫 
