如何验证扭曲SSL客户端中的SSL服务器证书

由于扭曲14.0，optionsForClientTLS是做到这一点的最佳方式：

from twisted.internet.ssl import optionsForClientTLS 
from twisted.internet.endpoints import SSL4ClientEndpoint 

ctx = optionsForClientTLS(hostname=u"example.com") 
endpoint = SSL4ClientEndpoint(reactor, host, port, ctx) 
factory = ... 
d = endpoint.connect(factory) 
... 

optionsForClientTLS采取其它（任选的）参数，以及它也可以是有用的。

此前扭曲的14.0，这个过程有点更多地参与：建立连接

后和SSL握手已经成功完成（这意味着该证书目前是否有效基于其notBefore和notAfter价值观和它是由您已表明是可信的），你可以从传输拿到证书认证机构的证书签名：

certificate = self.transport.getPeerCertificate() 

证书被表示为pyOpenSSL X509实例。它可以用来检索证书的主题名称的方法：

subject_name = certificate.get_subject() 

的主题名称是一个专有名称，表示为pyOpenSSL X509Name实例。您可以检查它的领域：

common_name = subject_name.commonName 

这是一个字符串，例如"example.com"。

如果需要检查subjectAltName，而不是（这很可能你做的），那么你就可以在证书的扩展信息：

extensions = certificate.get_extensions() 

这是pyOpenSSL X509Extension实例的列表。你必须解析每一个找到subjectAltName及其值。