Splunk 中 Python SSL 证书验证失败：根源、解决策略与最佳实践

本文深入探讨 splunk 在使用 python v3 从外部源拉取数据时遇到的 ssl 证书验证失败问题，特别是“自签名证书链”错误。核心解决方案是识别并添加缺失的根证书和中间证书到 splunk 或 python 的信任存储中，确保构建完整的证书信任链，从而避免不安全的证书验证绕过，保障数据传输的安全性与稳定性。

问题剖析：SSL 证书验证失败的本质

当 Splunk 配置为通过其内置的 Python 环境（如 Python v3）从外部源拉取数据时，如果遇到 SSLCertVerificationError，并伴随 [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain 这样的错误信息，这表明 Python 无法验证目标服务器提供的 SSL/TLS 证书。

SSL/TLS 证书验证是一个信任链（Trust Chain）的过程。服务器会提供一个证书，这个证书通常由一个或多个中间证书颁发机构（Intermediate CA）签发，而这些中间证书又由一个根证书颁发机构（Root CA）签发。客户端（这里是 Python）需要从其信任的根证书列表开始，逐级向上验证，直到找到一个它信任的根证书。如果在这个链条中的任何环节出现问题，例如：

1. 缺失证书： 客户端缺少信任链中的某个中间证书或根证书。
2. 自签名证书： 服务器使用了由内部或非公开 CA 签发的证书，而客户端的信任存储中没有这个 CA 的根证书。
3. SSL 检查代理： 数据流经过了一个 SSL 检查代理，该代理解密并重新加密了流量，并使用其自身的 CA 证书重新签发了服务器证书。如果客户端不信任这个代理的 CA，验证就会失败。

self signed certificate in certificate chain 错误通常意味着 Python 在验证过程中遇到了一个它不认识的自签名证书，或者证书链中的某个环节是自签名的，而这个自签名证书的颁发者不在 Python 的信任列表中。

根源定位：信任链的缺失

Python 应用程序在进行 SSL/TLS 连接时，会依赖一个预设的信任存储来验证服务器证书。这个信任存储通常包含了一系列全球公认的根证书颁发机构的证书。如果目标服务器的证书是由内部 CA 签发，或者是由一个不被 Python 信任的中间 CA 签发，那么 Python 将无法完成信任链的验证，从而拒绝连接。

立即学习“Python免费学习笔记（深入）”；

对于 Splunk 而言，它通常运行在一个相对独立的环境中，其内置的 Python 解释器可能不会直接使用操作系统的全局证书信任存储。因此，即使操作系统层面已经信任了某个 CA 证书，Splunk 的 Python 环境可能仍然需要额外的配置。

解决方案核心：构建完整的信任链

解决 SSL 证书验证失败问题的根本方法是确保 Splunk 的 Python 环境能够访问到完整的证书信任链，即它需要信任签发服务器证书的所有根证书和中间证书。

步骤一：获取缺失的证书

首先，需要识别并获取导致验证失败的根证书和所有中间证书。

• 从目标服务器获取： 使用浏览器（如 Chrome、Firefox）访问目标服务，点击地址栏旁边的锁图标，查看证书信息，并导出根证书和所有中间证书（通常为 .pem 或 .crt 格式）。确保导出的是整个证书链，而不仅仅是服务器证书本身。
• 从证书颁发机构获取： 如果是内部 CA，可以联系 IT 团队或证书管理员获取相应的根证书和中间证书。

步骤二：将证书添加到信任存储

获取到必要的 .pem 或 .crt 格式的证书文件后，需要将其添加到 Splunk 或 Python 的信任存储中。

方法一：针对 Splunk 内部 Python 环境的集成

Splunk 作为一个企业级平台，通常有其自身的证书管理机制，或者其内置的 Python 环境会使用特定的证书存储路径。

百度智能云·曦灵

百度旗下的AI数字人平台

83

查看详情

1. 合并证书文件： 将所有获取到的根证书和中间证书合并到一个 .pem 文件中。顺序通常是从中间证书到根证书，但许多库也能处理乱序。

   # 假设你有名为 intermediate_ca.pem 和 root_ca.pem 的文件
   cat intermediate_ca.pem root_ca.pem > custom_ca_bundle.pem

   登录后复制
2. Splunk 特定配置：
   • Splunk Web UI 或 server.conf： 对于 Splunk 自身的 Web 接口或内部通信，Splunk 允许在 server.conf 中指定自定义的 CA 证书路径。但对于 Splunk 输入拉取外部数据，这通常不是直接作用于 Python 脚本的方式。
   • Splunk 输入配置： 对于某些 Splunk 数据输入（如 HTTP Event Collector 或通用 HTTP 输入），可能会有参数允许指定自定义的 CA 证书路径，例如在 inputs.conf 中为某个输入指定 sslCertPath 或 sslRootCAPath。请查阅具体输入类型的 Splunk 文档。
   • 修改 Python certifi 捆绑： 许多 Python 应用程序（包括 Splunk 内部使用的库，如 requests）会依赖 certifi 包提供的根证书。你可以找到 Splunk 内部 Python 环境中 certifi 包的 cacert.pem 文件，并将你的自定义 CA 证书追加到其中。
     • 查找 certifi 路径：

       # 假设 Splunk 的 Python 路径是 $SPLUNK_HOME/bin/python3
       $SPLUNK_HOME/bin/python3 -c "import certifi; print(certifi.where())"

       登录后复制

       这将输出 cacert.pem 文件的完整路径，例如 $SPLUNK_HOME/lib/python3.x/site-packages/certifi/cacert.pem。

     • 追加证书：

       cat custom_ca_bundle.pem >> $(SPLUNK_HOME)/lib/python3.x/site-packages/certifi/cacert.pem

       登录后复制

       注意： 直接修改 certifi 文件可能在 Splunk 升级时被覆盖，且可能影响其他依赖 certifi 的应用。这通常被视为一种临时或非最佳实践的解决方案。

方法二：系统级信任存储的更新（适用于全局影响）

如果 Splunk 的 Python 环境配置为使用操作系统的信任存储，或者希望影响系统上所有应用程序，可以更新系统级的信任存储。

• Linux (Debian/Ubuntu 系列):

  sudo cp custom_ca_bundle.pem /usr/local/share/ca-certificates/custom_ca_bundle.crt
  sudo update-ca-certificates

  登录后复制
• Linux (RHEL/CentOS 系列):

  sudo cp custom_ca_bundle.pem /etc/pki/ca-trust/source/anchors/
  sudo update-ca-trust extract

  登录后复制
• Windows: 通过 MMC (Microsoft Management Console) 导入证书到 "受信任的根证书颁发机构" 存储。
  1. 运行 mmc。
  2. 文件 -> 添加/删除管理单元 -> 证书 -> 添加 -> 计算机账户 -> 本地计算机 -> 完成。
  3. 展开 "证书 (本地计算机)" -> "受信任的根证书颁发机构" -> "证书"。
  4. 右键点击 "证书" -> 所有任务 -> 导入，然后按照向导导入你的 .pem 或 .crt 文件。

重要提示： 系统级更新可能不直接影响 Splunk 独立运行的 Python 环境，因为 Splunk 往往自带独立的 Python 运行时和库路径。优先考虑 Splunk 官方推荐的证书管理方式或针对其内置 Python 环境的修改。

方法三：在 Python 代码中显式指定证书路径（如果 Splunk 允许自定义脚本）

如果 Splunk 的数据输入允许你编写自定义 Python 脚本，并且这些脚本使用 requests 等库进行 HTTP 请求，你可以在代码中显式指定自定义 CA 证书捆绑包的路径。

import requests

# 假设你的自定义 CA 证书捆绑包路径
custom_ca_bundle_path = '/path/to/your/custom_ca_bundle.pem'

try:
    response = requests.get('https://your-external-source.com/data', verify=custom_ca_bundle_path)
    response.raise_for_status()
    print("数据拉取成功:", response.text)
except requests.exceptions.SSLError as e:
    print(f"SSL 证书验证失败: {e}")
except requests.exceptions.RequestException as e:
    print(f"请求失败: {e}")

这种方法最灵活，但需要 Splunk 输入类型支持自定义 Python 脚本。

特殊情况：SSL 检查代理

如果你的网络环境中存在 SSL 检查代理（也称为 SSL 解密代理或中间人代理），它会拦截并解密所有出站 SSL 流量，然后使用自己的 CA 证书重新签发服务器证书，再加密并发送给客户端。在这种情况下，即使目标服务器的原始证书是有效的，Python 仍然会因为不信任代理的 CA 证书而报错。

解决方案： 除了添加原始服务器的根证书和中间证书外，你还需要获取并添加 SSL 检查代理的根证书到 Splunk 或 Python 的信任存储中。通常，网络管理员会提供这个代理的根证书。

注意事项与最佳实践

• 避免禁用证书验证： 尽管在 Python 中设置 verify=False 可以绕过证书验证，但这极不推荐在生产环境中使用。禁用验证会使你的应用程序面临中间人攻击的风险，严重损害数据传输的安全性。
• 证书格式： 确保你使用的证书文件是 PEM 格式（通常以 -----BEGIN CERTIFICATE----- 开头）。如果证书是 DER 格式（通常是 .der 或 .cer），需要先将其转换为 PEM 格式。
• 重启服务： 在修改了证书信任存储后，通常需要重启 Splunk 服务或相关的 Splunk 进程，以确保新的证书配置生效。
• 定期审查和更新： 证书有有效期。确保定期审查和更新信任存储中的证书，以防止因证书过期而导致的服务中断。
• 安全风险： 仅添加你完全信任的 CA 证书。将不可信的 CA 证书添加到信任存储会引入安全漏洞。

总结

Splunk 中 Python SSL 证书验证失败，尤其是“自签名证书链”问题，核心在于客户端未能完整信任服务器证书的颁发者。通过识别缺失的根证书和中间证书，并将其添加到 Splunk 或其内置 Python 环境的信任存储中，可以构建一个完整的信任链，从而安全、稳定地解决这一问题。在操作过程中，务必遵循最佳实践，避免采取不安全的绕过措施，并注意系统级与应用级证书配置的差异。

以上就是Splunk 中 Python SSL 证书验证失败：根源、解决策略与最佳实践的详细内容，更多请关注php中文网其它相关文章！