我终于找到了Twisted（他怎么一下从2.5就蹦到了8.0.1）的web模块可以作为一个单独的web server。而这个web模块是包装的很底层的，使用pyopenssl，并且不是WSGI的一个实现。也就是说，他很可能是支持客户端验证的。
经过一番google，发现了支持的办法。如下：
首先我们看一下如何让Twisted支持HTTPS，他需要执行reactor.listenSSL方法，

class Hello(Resource) :
    isLeaf = True
    def render(self, request) :
        return ‘Hello, SSL’
root = server.Site(Hello())
ctxFactory = ssl.DefaultOpenSSLContextFactory(
    ‘/path/to/server.key’,
    ‘/path/to/server.crt’
    )
reactor.listenSSL(443, root, contextFactory = ctxFactory)
reactor.run()

这是最基本的支持HTTPS的方法，我们看，他需要一个contextFactory，深入到Twisted里面发现这个contextFactory是SSL进行设置。我们想要他支持客户端验证，就要从这里下手了。
DefaultOpenSSLContextFactory的cacheContext方法是对context进行的操作。我们重写这个方法。

class SSLClientCertificateFactory(ssl.DefaultOpenSSLContextFactory) :

    def __init__(self, privateKeyFileName, certificateFileName, sslmethod=SSL.SSLv23_METHOD) :
        ssl.DefaultOpenSSLContextFactory.__init__(self, privateKeyFileName, certificateFileName, sslmethod)

    def _verify(self, connection, x509, errnum, errdepth, ok):
        “”"
        print ‘_verify (ok=%d):’ % ok
        print ‘  subject:’, x509.get_subject()
        print ‘  issuer:’, x509.get_issuer()
        print ‘  errnum %s, errdepth %d’ % (errnum, errdepth)
        “”"
        return ok
   
    def cacheContext(self) :
        ssl.DefaultOpenSSLContextFactory.cacheContext(self)

        ctx = self._context
        ctx.load_verify_locations(‘/path/to/ca.crt’)
        ctx.set_verify(SSL.VERIFY_PEER|SSL.VERIFY_FAIL_IF_NO_PEER_CERT, self._verify)

        self._context = ctx

我们在通过默认的contextFactory生成context之后，执行ctx.set_verify(SSL.VERIFY_PEER|SSL.VERIFY_FAIL_IF_NO_PEER_CERT, self._verify)，这样就加入和客户端验证，并且在self._verify函数里面我们还可以具体的验证证书的情况。
改写最上面的程序，
class Hello(Resource) :
    isLeaf = True
    def render(self, request) :
        return ‘Hello, SSL’
root = server.Site(Hello())
ctxFactory = SSLClientCertificateFactory(
    ‘/path/to/server.key’,
    ‘/path/to/server.crt’
    )
reactor.listenSSL(443, root, contextFactory = ctxFactory)
reactor.run()

好了，此时我们的python web server已经支持客户端验证了

后记：这里我有一个思考，就是为什么WSGI（暂时）不支持客户端验证？我想应该不是设计者忽视了这个问题。一般的，需要客户端验证这样的应用场景，很难只是假设一个python的web server，前面应该都有一个Apache等纯粹的服务器，那么这些验证之类的工作完全交付给Apache就足够好了，python没必要自己来处理。也许这就是原因吧。
那么，从这里我们也能看出，作为一个纯粹的网络应用组件，Twisted至少从功能上还是非常强大的。

Python的Webserver基本上都是遵循Python的WSGI标准，包括我使用的CherryPy和webpy。在这两个Webserver的源代码中都有一个package叫做wsgiserver，里面只有__init__.py。这两个Webserver的wsgiserver内容几乎一样，而且明显有CherryPy的痕迹，看来CherryPy可能是WSGI标准的一个（半）官方实现，就好像Tomcat至于Servlet。

WSGI标准写的很是笼统，他只是说可以支持SSL，无他。只好阅读源代码，代码里面写的倒不是很差。需要同时给出ssl需要的服务器端的私钥和证书，分别使用如下两个变量存放。
ssl_certificate: the filename of the server SSL certificate.      服务器端的SSL证书
ssl_privatekey: the filename of the server’s private key file.    服务器端的私钥
我们只要遵循每个服务器的文档设置上就可以了。我们以CherryPy为例。（好吧，我说实话，我只会这个。）

在CherryPy的配置文件里面，可以设置这两个变量，分别指向文件系统的文件。
[global]
server.socket_port : 8081
server.socket_host : “0.0.0.0″
server.ssl_certificate : “conf/cert/server.crt”
server.ssl_private_key : “conf/cert/server.key”
这样，当我们重新启动的时候，我们的webserver就已经开始支持HTTPS了。如果这两个变量有一个没有设置的话，HTTPS就不会起作用。

这里我不得不说一下，CherryPy的文档已经算是不错的了，但是还是不行，只有在ServerAPI里面稍微提及了一下这两个变量而已。想要完整的搞明白，就只能祭出hack源代码大发，还得有连蒙带唬的功能。

至于webpy，就最好看看他的文档了。

在很多场景下，我们是需要关心客户的身份的，一个很安全的做法就是给你的客户发放一个签名的证书，让你的客户拿着证书来，这时候你验证了证书，你也就相信了你的客户。我们可以使用Apache提供的客户端验证（Client Certificate）功能。

1. 生成客户端的私钥和CSR文件
   openssl genrsa -out client.key 1024
   openssl req -new -key client.key -out client.csr
2. 用前面我们自己的CA签发客户的证书
   openssl x509 -req -days 360 -in client.csr -CA ca.crt -CAkey ca.key -CAserial ca.srl -out client.crt
3. 此时客户端的证书已经制作完毕（和制作Server的一样），但是我们的浏览器需要pkcs12格式的文件，所以我们需要签一个pkcs12格式的文件
   openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 -name your_certificate_client_name
   这里需要你的client的CSR文件设置的密码，还有your_certificate_client_name替换成你client的名字
4. 打开Apache需要客户验证的设置
   SSLVerifyClient require
   SSLVerifyDepth  1
   SSLCACertificateFile “/path_to/ca.crt”
5. 重新启动apache，尝试一下访问，此时访问并不成功Firefox会包一个-12227的错误，IE干脆显示不出来，说明客户端验证没有通过
6. 把生成的客户端pkcs12文件导入到浏览器，
   Firefox Tools->Options->Advanced->Encryption->View Certificates->Your Certificates->Import
   IE Tools->Internet Options->Content->Certificates->Personal->Import
7. 再次访问服务器，It works.

此时你的客户端（也就是浏览器）可以通过服务器的验证了。你也可以相信你的客户了。

但是有些时候，用户凭什么相信你呢，你总得想办法证明你的身份吧。该CA（Certificate Authority）出场了，CA是一个大家都相信的第三方，因为你的客户相信CA，而CA又说你（你的服务器）是可以被信任的，那么你的客户就会相信你。所以刚才那个自签名的证书可是不行，你需要ca用他的key给你签个名字，这样别人才相信不是。
Q：我们不认识CA怎么办？
A：去公认的CA申请啊！
Q：难道就我们自己用也要申请？
A：好吧，我们可以自己假装自己就是CA，只要大家相信你就好。

我们开始假装CA，创建自己的CA。

   1. 建立CA私钥
      openssl genrsa -out ca.key 1024
   2. 建立自己的CRT文件
      openssl req -new -x509 -key ca.key -out ca.crt -days 3600
   3. 用自己的CA文件签署刚刚的服务器CSR，生成服务器证书
      openssl x509 -req -days 360 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
      注意，这里的参数-CAcreateserial会建立一个serial文件ca.srl，用来记录ca的serial number，如果你已经有了这个文件，那么请使用-CAserial serial_file替换-CAcreateserial参数。
   4. 使用新的server.key和server.crt文件，重启apache，再次访问。看一下你的浏览器说什么，是不是此时的Issuer已经是你自己的CA了？

如果你是使用第三方的CA，你就需要把你的server.csr发给他们，然后他们会签一个证书发挥给你的。

此时我们的客户已经相信了你的服务器了。
好了本本没电了，明天我们再讨论如何相信你的客户吧。

先说一下这里面用到的库
OpenSSL 0.9.8g
Apache Httpd 2.2

SSL是一个可以保证你的通讯安全的机制，采用公钥私钥的非对加密机制，具体机制我就不说了，网上一抓一大把。
你可以使用openssl建立自己的密钥，并使用在Apache Webserver上，让你的服务器支持https。

1. 建立你自己的服务器私钥，一个1024位的就够了
   openssl genrsa -des3 -out server.key 1024
2. 生成CSR文件，Certificate Signing Request
   openssl req -new -key server.key -out server.csr
3. 生成证书CRT文件，X509协议
   openssl x509 -req -in server.csr -signkey server.key -out server.crt
   注意，这是一个自签名的证书
4. 修改你apache的ssl配置，
   SSLCertificateFile “/path-to/server.crt”
   SSLCertificateKeyFile “/path-to/server.key”
5. 启动你的apache，使用https访问试试看，是不是要你确认是否允许证书通过

这时候，你的服务器已经支持SSL了，刚才浏览器问你是否通过你服务器提供的证书是表示客户端（浏览器）信任了你的服务器，这里也就是服务器认证。你们之间的通讯已经是加密的了。