如何从python中的请求获取响应SSL证书？

requests故意包装这样的低级内容。通常，您唯一要做的就是验证证书是否有效。为此，只需通过即可verify=True。如果要使用非标准的cacert捆绑包，也可以通过。例如：

resp = requests.get('https://example.com', verify=True, cert=['/path/to/my/ca.crt'])

另外，requests主要是围绕其他库的一组包装器，主要urllib3是stdlib的http.client（或对于2.x而言httplib）和ssl。

有时候，答案是只是为了获得在较低级别的对象（例如，resp.raw是urllib3.response.HTTPResponse），但在许多情况下，这是不可能的。

这就是其中一种情况。唯一可以看到证书的对象是http.client.HTTPSConnection（或a
urllib3.connectionpool.VerifiedHTTPSConnection，但这只是前者的子类）和an
ssl.SSLSocket，在请求返回时，这些对象都不存在。（connectionpool顾名思义，该HTTPSConnection对象存储在一个池中，并且可以在完成后立即重用；该对象SSLSocket是的成员HTTPSConnection。）

因此，您需要打补丁，以便可以将数据复制到整个链中。可能就是这样简单：

HTTPResponse = requests.packages.urllib3.response.HTTPResponse
orig_HTTPResponse__init__ = HTTPResponse.__init__
def new_HTTPResponse__init__(self, *args, **kwargs):
    orig_HTTPResponse__init__(self, *args, **kwargs)
    try:
        self.peercert = self._connection.sock.getpeercert()
    except AttributeError:
        pass
HTTPResponse.__init__ = new_HTTPResponse__init__

HTTPAdapter = requests.adapters.HTTPAdapter
orig_HTTPAdapter_build_response = HTTPAdapter.build_response
def new_HTTPAdapter_build_response(self, request, resp):
    response = orig_HTTPAdapter_build_response(self, request, resp)
    try:
        response.peercert = resp.peercert
    except AttributeError:
        pass
    return response
HTTPAdapter.build_response = new_HTTPAdapter_build_response

这未经测试，因此无法保证；您可能需要修补的更多。

同样，子类化和重写可能比monkeypatching更干净（尤其是因为HTTPAdapter被设计为子类化）。

或者，甚至更好，分叉urllib3和requests，修改分叉，（如果您认为这是合法的话）向上游提交请求。

无论如何，现在，从您的代码中，您可以执行以下操作：

resp.peercert

这将为您提供带有'subject'和'subjectAltName'键的字典，由返回pyopenssl.WrappedSocket.getpeercert。相反，如果您想要有关证书的更多信息，请尝试Christophe
Vandeplas的此答案的变体，该变体]可以让您获得OpenSSL.crypto.X509对象。如果要获取整个对等证书链，请参阅。

首先，阿巴纳特的答案非常完整。在追随拟议connection-close的Kalkran问题时，我实际上发现其中peercert不包含有关SSL证书的详细信息。

我深入研究了连接和套接字信息，并提取了self.sock.connection.get_peer_certificate()包含以下功能的函数：

• get_subject() 对于CN
• get_notAfter()和get_notBefore()到期日期
• get_serial_number()以及get_signature_algorithm()与加密有关的技术细节
• …
  请注意，只有pyopenssl在系统上已安装时，这些才可用。在底层，urllib3使用（pyopenssl如果有），ssl否则使用标准库的模块。在self.sock.connection如下图所示的属性只存在，如果self.sock是urllib3.contrib.pyopenssl.WrappedSocket，不如果它是一个ssl.SSLSocket。您可以安装pyopenssl使用pip install pyopenssl。

完成后，代码将变为：

import requests

HTTPResponse = requests.packages.urllib3.response.HTTPResponse
orig_HTTPResponse__init__ = HTTPResponse.__init__
def new_HTTPResponse__init__(self, *args, **kwargs):
    orig_HTTPResponse__init__(self, *args, **kwargs)
    try:
        self.peer_certificate = self._connection.peer_certificate
    except AttributeError:
        pass
HTTPResponse.__init__ = new_HTTPResponse__init__

HTTPAdapter = requests.adapters.HTTPAdapter
orig_HTTPAdapter_build_response = HTTPAdapter.build_response
def new_HTTPAdapter_build_response(self, request, resp):
    response = orig_HTTPAdapter_build_response(self, request, resp)
    try:
        response.peer_certificate = resp.peer_certificate
    except AttributeError:
        pass
    return response
HTTPAdapter.build_response = new_HTTPAdapter_build_response

HTTPSConnection = requests.packages.urllib3.connection.HTTPSConnection
orig_HTTPSConnection_connect = HTTPSConnection.connect
def new_HTTPSConnection_connect(self):
    orig_HTTPSConnection_connect(self)
    try:
        self.peer_certificate = self.sock.connection.get_peer_certificate()
    except AttributeError:
        pass
HTTPSConnection.connect = new_HTTPSConnection_connect

您将能够轻松访问结果：

r = requests.get('https://yourdomain.tld', timeout=0.1)
print('Expires on: {}'.format(r.peer_certificate.get_notAfter()))
print(dir(r.peer_certificate))

如果像我一样要忽略SSL证书警告，只需在文件顶部添加以下内容，而不进行SSL验证：

from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

r = requests.get('https://yourdomain.tld', timeout=0.1, verify=False)
print(dir(r.peer_certificate))

当然，您可能还希望传递验证证书所需的所有信息，但这更容易，因为它已经通过了顶层。