本教程旨在解决python v3环境下splunk数据输入时常见的ssl证书验证失败问题,特别是“自签名证书链”错误。文章将详细阐述如何通过将签发机构的根证书和中间证书添加到系统或python的信任存储中来建立信任链,从而确保splunk能够安全、稳定地从外部源拉取数据,避免不安全或不可持续的临时解决方案。
在Splunk 9.0.4等版本中配置数据输入以从外部源拉取数据时,如果底层机制(通常涉及Python v3)通过HTTPS连接,可能会遭遇SSL证书验证失败的错误。一个常见的错误提示是 SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1106)。这表明客户端(Splunk的Python环境)无法信任服务器提供的证书链,因为其中包含自签名证书,或证书链不完整。
SSLCertVerificationError 意味着Python的SSL模块无法验证远程服务器提供的证书的真实性。具体到“self signed certificate in certificate chain”错误,通常有以下几种情况:
无论是哪种情况,核心问题都是客户端缺乏对证书链中某个关键证书(通常是根证书或中间证书)的信任。
解决SSL证书验证失败的根本方法是确保客户端(运行Splunk的Python环境)能够信任服务器证书链中的所有证书。这通常涉及将签发机构的根证书和所有必要的中间证书添加到客户端系统的信任存储中。
立即学习“Python免费学习笔记(深入)”;
首先,您需要获取导致验证失败的证书链中的根证书和所有中间证书。
从服务器获取:
echo | openssl s_client -showcerts -connect <目标主机>:<端口> > server_certs.pem
打开 server_certs.pem 文件,其中会包含服务器证书、中间证书和根证书。您需要识别并提取根证书和所有中间证书。
从企业CA获取: 如果是企业内部CA签发的证书,通常可以从IT部门获取到CA的根证书和中间证书。
确保您获取的是PEM格式(Base64编码的ASCII文件),如果不是,可能需要将其转换为PEM格式。
获取到根证书和中间证书后,需要将其添加到操作系统或Python环境可以访问的信任存储中。
Python的ssl模块通常会依赖操作系统的CA证书信任存储。这是最推荐和最通用的方法,因为它可以影响系统上所有依赖此信任存储的应用程序。
Linux系统 (Debian/Ubuntu为例): 将证书文件(例如 root_ca.crt, intermediate_ca.crt)复制到 /usr/local/share/ca-certificates/ 目录,然后更新系统证书链。
# 假设您的根证书为root_ca.crt,中间证书为intermediate_ca.crt sudo cp root_ca.crt /usr/local/share/ca-certificates/root_ca.crt sudo cp intermediate_ca.crt /usr/local/share/ca-certificates/intermediate_ca.crt # 更新证书链 sudo update-ca-certificates
对于基于RHEL/CentOS的系统,通常将证书复制到 /etc/pki/ca-trust/source/anchors/ 目录,然后运行 sudo update-ca-trust extract。
Windows系统: 使用 certmgr.msc 工具(证书管理器)导入证书:
如果Splunk的Python脚本明确使用了requests库进行HTTP请求,并且没有配置使用系统信任存储,您可能需要配置requests库。
通过REQUESTS_CA_BUNDLE环境变量: 您可以将所有信任的CA证书合并到一个 .pem 文件中(例如 custom_ca_bundle.pem),然后设置 REQUESTS_CA_BUNDLE 环境变量指向该文件。
# 将所有根证书和中间证书内容合并到此文件 cat root_ca.crt intermediate_ca.crt > custom_ca_bundle.pem # 在运行Splunk或相关脚本前设置环境变量 export REQUESTS_CA_BUNDLE="/path/to/your/custom_ca_bundle.pem"
对于Splunk的数据输入配置,这可能意味着在Splunk环境启动脚本或相关的Python脚本中设置此环境变量。
通过verify参数: 在Python代码中,requests.get() 或 requests.post() 等方法接受一个 verify 参数,可以指向一个包含信任CA证书的文件。
import requests
# 假设 custom_ca_bundle.pem 包含您的根证书和中间证书
response = requests.get('https://your-external-source.com', verify='/path/to/your/custom_ca_bundle.pem')但这种方法需要修改Splunk内部的数据输入脚本,通常不推荐。
如果您的网络中存在出站SSL解密代理,那么您需要将代理的根证书添加到信任存储中,而不是目标服务器的原始证书。代理会用自己的CA证书重新签发目标服务器的证书。
在完成证书添加后,务必进行验证:
openssl s_client -connect <目标主机>:<端口> -CAfile /path/to/your/custom_ca_bundle.pem
如果 -CAfile 参数指向您合并后的证书包能够成功连接,说明证书文件是正确的。然后,如果系统信任存储配置正确,不带 -CAfile 也能成功。
解决Python与Splunk集成中的SSL证书验证失败问题,关键在于建立完整的证书信任链。通过正确获取签发机构的根证书和所有中间证书,并将其添加到操作系统或Python环境的信任存储中,可以有效解决 SSLCertVerificationError。避免使用不安全的临时绕过方案,如禁用证书验证,因为这会严重削弱数据传输的安全性。始终追求建立一个安全、可靠且可持续的证书信任机制。
以上就是解决Python与Splunk集成中的SSL证书验证失败问题的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
725
收藏
