我终于找到了Twisted（他怎么一下从2.5就蹦到了8.0.1）的web模块可以作为一个单独的web server。而这个web模块是包装的很底层的，使用pyopenssl，并且不是WSGI的一个实现。也就是说，他很可能是支持客户端验证的。
经过一番google，发现了支持的办法。如下：
首先我们看一下如何让Twisted支持HTTPS，他需要执行reactor.listenSSL方法，

class Hello(Resource) :
    isLeaf = True
    def render(self, request) :
        return ‘Hello, SSL’
root = server.Site(Hello())
ctxFactory = ssl.DefaultOpenSSLContextFactory(
    ‘/path/to/server.key’,
    ‘/path/to/server.crt’
    )
reactor.listenSSL(443, root, contextFactory = ctxFactory)
reactor.run()

这是最基本的支持HTTPS的方法，我们看，他需要一个contextFactory，深入到Twisted里面发现这个contextFactory是SSL进行设置。我们想要他支持客户端验证，就要从这里下手了。
DefaultOpenSSLContextFactory的cacheContext方法是对context进行的操作。我们重写这个方法。

class SSLClientCertificateFactory(ssl.DefaultOpenSSLContextFactory) :

    def __init__(self, privateKeyFileName, certificateFileName, sslmethod=SSL.SSLv23_METHOD) :
        ssl.DefaultOpenSSLContextFactory.__init__(self, privateKeyFileName, certificateFileName, sslmethod)

    def _verify(self, connection, x509, errnum, errdepth, ok):
        “”"
        print ‘_verify (ok=%d):’ % ok
        print ‘  subject:’, x509.get_subject()
        print ‘  issuer:’, x509.get_issuer()
        print ‘  errnum %s, errdepth %d’ % (errnum, errdepth)
        “”"
        return ok
   
    def cacheContext(self) :
        ssl.DefaultOpenSSLContextFactory.cacheContext(self)

        ctx = self._context
        ctx.load_verify_locations(‘/path/to/ca.crt’)
        ctx.set_verify(SSL.VERIFY_PEER|SSL.VERIFY_FAIL_IF_NO_PEER_CERT, self._verify)

        self._context = ctx

我们在通过默认的contextFactory生成context之后，执行ctx.set_verify(SSL.VERIFY_PEER|SSL.VERIFY_FAIL_IF_NO_PEER_CERT, self._verify)，这样就加入和客户端验证，并且在self._verify函数里面我们还可以具体的验证证书的情况。
改写最上面的程序，
class Hello(Resource) :
    isLeaf = True
    def render(self, request) :
        return ‘Hello, SSL’
root = server.Site(Hello())
ctxFactory = SSLClientCertificateFactory(
    ‘/path/to/server.key’,
    ‘/path/to/server.crt’
    )
reactor.listenSSL(443, root, contextFactory = ctxFactory)
reactor.run()

好了，此时我们的python web server已经支持客户端验证了

后记：这里我有一个思考，就是为什么WSGI（暂时）不支持客户端验证？我想应该不是设计者忽视了这个问题。一般的，需要客户端验证这样的应用场景，很难只是假设一个python的web server，前面应该都有一个Apache等纯粹的服务器，那么这些验证之类的工作完全交付给Apache就足够好了，python没必要自己来处理。也许这就是原因吧。
那么，从这里我们也能看出，作为一个纯粹的网络应用组件，Twisted至少从功能上还是非常强大的。

Python的Webserver基本上都是遵循Python的WSGI标准，包括我使用的CherryPy和webpy。在这两个Webserver的源代码中都有一个package叫做wsgiserver，里面只有__init__.py。这两个Webserver的wsgiserver内容几乎一样，而且明显有CherryPy的痕迹，看来CherryPy可能是WSGI标准的一个（半）官方实现，就好像Tomcat至于Servlet。

WSGI标准写的很是笼统，他只是说可以支持SSL，无他。只好阅读源代码，代码里面写的倒不是很差。需要同时给出ssl需要的服务器端的私钥和证书，分别使用如下两个变量存放。
ssl_certificate: the filename of the server SSL certificate.      服务器端的SSL证书
ssl_privatekey: the filename of the server’s private key file.    服务器端的私钥
我们只要遵循每个服务器的文档设置上就可以了。我们以CherryPy为例。（好吧，我说实话，我只会这个。）

在CherryPy的配置文件里面，可以设置这两个变量，分别指向文件系统的文件。
[global]
server.socket_port : 8081
server.socket_host : “0.0.0.0″
server.ssl_certificate : “conf/cert/server.crt”
server.ssl_private_key : “conf/cert/server.key”
这样，当我们重新启动的时候，我们的webserver就已经开始支持HTTPS了。如果这两个变量有一个没有设置的话，HTTPS就不会起作用。

这里我不得不说一下，CherryPy的文档已经算是不错的了，但是还是不行，只有在ServerAPI里面稍微提及了一下这两个变量而已。想要完整的搞明白，就只能祭出hack源代码大发，还得有连蒙带唬的功能。

至于webpy，就最好看看他的文档了。

先说一下这里面用到的库
OpenSSL 0.9.8g
Apache Httpd 2.2

SSL是一个可以保证你的通讯安全的机制，采用公钥私钥的非对加密机制，具体机制我就不说了，网上一抓一大把。
你可以使用openssl建立自己的密钥，并使用在Apache Webserver上，让你的服务器支持https。

1. 建立你自己的服务器私钥，一个1024位的就够了
   openssl genrsa -des3 -out server.key 1024
2. 生成CSR文件，Certificate Signing Request
   openssl req -new -key server.key -out server.csr
3. 生成证书CRT文件，X509协议
   openssl x509 -req -in server.csr -signkey server.key -out server.crt
   注意，这是一个自签名的证书
4. 修改你apache的ssl配置，
   SSLCertificateFile “/path-to/server.crt”
   SSLCertificateKeyFile “/path-to/server.key”
5. 启动你的apache，使用https访问试试看，是不是要你确认是否允许证书通过

这时候，你的服务器已经支持SSL了，刚才浏览器问你是否通过你服务器提供的证书是表示客户端（浏览器）信任了你的服务器，这里也就是服务器认证。你们之间的通讯已经是加密的了。