CSR——python
TTP處理證書
- 創建證書簽名請求(CSR):類似于填寫簽證資訊
- 將CSR發送給可信的第三方(TTP):這就像將你的資訊發送到簽證申請TTP辦公室
- 驗證資訊:不管怎樣,TTP需要驗證你提供的資訊
- 生成一個公鑰:TTP簽署你的CSR,這相當于TTP簽署你的簽證
- 簽發已驗證的公鑰:這相當于你在郵件中收到簽證
注意:CSR以加密的方式系結了你的私鑰,因此,資訊公鑰、私鑰和證書頒發機構的所有三個部分都以某種方式相關,這將創建所謂的信任鏈,因此你現在擁有一個有效的證書,可以用來核實你的身份,
python實作
可以在自己的機器上設定整個PKI基礎設施,這正是本節中要做的,沒有聽起來那么難,所以別擔心!成為一個真正的證書頒發機構要比采取以下步驟困難得多,但你將要讀到的大體上是你運行自己的CA(證書頒發機構)所需的全部內容,
初始公鑰和私鑰對將是自簽名證書,如果你真的要成為一個CA(證書頒發機構),那么這個私鑰的安全是非常重要的,如果有人可以訪問CA的公鑰和私鑰對,他也可以生成一個完全有效的證書,并且除了停止信任你的CA之外,你無法檢測該問題,python當中我們使用socket套接字模擬了一套客戶端和服務器,私鑰保存在服務器上,生成私鑰代碼如下:
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import rsa
'''
使用RSA演算法生成私鑰
'''
def generate_private_key(filename: str, passphrase: str):
private_key = rsa.generate_private_key(
public_exponent=65537, key_size=2048, backend=default_backend()
)
utf8_pass = passphrase.encode("utf-8")
algorithm = serialization.BestAvailableEncryption(utf8_pass)
with open(filename, "wb") as keyfile:
keyfile.write(
private_key.private_bytes(
encoding=serialization.Encoding.PEM,
format=serialization.PrivateFormat.TraditionalOpenSSL,
encryption_algorithm=algorithm,
)
)
'''
按指定的檔案名將私鑰寫入磁盤,此檔案使用提供的密碼來加密,
'''
return private_key
此時就有兩種方法可以生成私鑰,
繞過CSR請求直接生成私鑰
這個方法可以簡單模擬證書簽名機制,
from datetime import datetime, timedelta
from cryptography import x509
from cryptography.x509.oid import NameOID
from cryptography.hazmat.primitives import hashes
def generate_public_key(private_key, filename, **kwargs):
subject = x509.Name(
[
x509.NameAttribute(NameOID.COUNTRY_NAME, kwargs["country"]),
x509.NameAttribute(
NameOID.STATE_OR_PROVINCE_NAME, kwargs["state"]
),
x509.NameAttribute(NameOID.LOCALITY_NAME, kwargs["locality"]),
x509.NameAttribute(NameOID.ORGANIZATION_NAME, kwargs["org"]),
x509.NameAttribute(NameOID.COMMON_NAME, kwargs["hostname"]),
]
)
# Because this is self signed, the issuer is always the subject
issuer = subject '''這個地方由于是自簽名,所以頒發者和使用者一樣,不過通過CSR請求的時候,頒發者和使用者將會通過傳參的方式寫入'''
# This certificate is valid from now until 30 days
valid_from = datetime.utcnow()
valid_to = valid_from + timedelta(days=30)
# Used to build the certificate
builder = (
x509.CertificateBuilder()
.subject_name(subject)
.issuer_name(issuer)
.public_key(private_key.public_key())
.serial_number(x509.random_serial_number())
.not_valid_before(valid_from)
.not_valid_after(valid_to)
)
'''
所有必需的資訊添加到公鑰生成器物件中,該物件需要進行簽名,
'''
# Sign the certificate with the private key
public_key = builder.sign(
private_key, hashes.SHA256(), default_backend()
) '''用私鑰簽署公鑰'''
with open(filename, "wb") as certfile:
certfile.write(public_key.public_bytes(serialization.Encoding.PEM))
return public_key
使用上述兩個函式我們就可以簡單的實作快速生成公私鑰對(key pair)
首先假設在服務器端生成好私鑰(這個東西就不再變了)
private_key = generate_private_key("ca-private-key.pem", "password_by_yourself")
print(private_key)
>>> <cryptography.hazmat.backends.openssl.rsa._RSAPrivateKey object at 0x7ff05e22d700>
此時目錄下會生成一個CA_private_key.pem的檔案,檔案內容格式為:
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,5AF31374022ED7399D94EC644576265F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-----END RSA PRIVATE KEY-----
這個東西會成為生成公鑰到來源,生成公鑰需要自己寫一些引數
key = generate_public_key(
private_key,
filename="ca-private-key.pem",
country="US",
state="Maryland",
locality="Baltimore",
org="My CA Company",
hostname="my-ca.com",
)
print(key)
現在就擁有了兩個檔案,一個是公鑰,一個是私鑰,
經過CSR請求
def generate_csr(private_key, filename, **kwargs):
subject = x509.Name(
[
x509.NameAttribute(NameOID.COUNTRY_NAME, kwargs["country"]),
x509.NameAttribute(
NameOID.STATE_OR_PROVINCE_NAME, kwargs["state"]
),
x509.NameAttribute(NameOID.LOCALITY_NAME, kwargs["locality"]),
x509.NameAttribute(NameOID.ORGANIZATION_NAME, kwargs["org"]),
x509.NameAttribute(NameOID.COMMON_NAME, kwargs["hostname"]),
]
)
# Generate any alternative dns names
alt_names = []
for name in kwargs.get("alt_names", []):
alt_names.append(x509.DNSName(name))
san = x509.SubjectAlternativeName(alt_names) '''設定備用DNS名稱,該名稱對你的證書有效'''
builder = (
x509.CertificateSigningRequestBuilder()
.subject_name(subject)
.add_extension(san, critical=False)
)
csr = builder.sign(private_key, hashes.SHA256(), default_backend())'''用私鑰簽署CSR'''
with open(filename, "wb") as csrfile:
csrfile.write(csr.public_bytes(serialization.Encoding.PEM))
return csr
為了創建CSR,首先需要一個私鑰,幸運的是,你可以在創建CA的私鑰時使用相同的generate_private_key() ,使用上面的函式和前面定義的方法,可以執行以下操作:
server_private_key = generate_private_key("server-private-key.pem", "serverpassword")
print(server_private_key)
generate_csr(
server_private_key,
filename="server-csr.pem",
country="US",
state="Maryland",
locality="Baltimore",
org="My Company",
alt_names=["localhost"],
hostname="my-site.com")
有了這兩個檔案,現在可以開始對密鑰進行簽名,通常,在這一步中會進行大量的驗證,在實際專案中,CA會確保你擁有my-site.com,并要求你以各種方式證明它,在自己模擬CA服務器和客戶端的時候,可以避免這些麻煩的證明,創建你自己的已驗證的公鑰,為此,你將在pki_helpers.py檔案中添加另一個函式
def sign_csr(csr, ca_public_key, ca_private_key, new_filename):
valid_from = datetime.utcnow()
valid_until = valid_from + timedelta(days=30)
builder = (
x509.CertificateBuilder()
.subject_name(csr.subject)
.issuer_name(ca_public_key.subject)
.public_key(csr.public_key())
.serial_number(x509.random_serial_number())
.not_valid_before(valid_from)
.not_valid_after(valid_until)
)
for extension in csr.extensions:
builder = builder.add_extension(extension.value, extension.critical)
public_key = builder.sign(
private_key=ca_private_key,
algorithm=hashes.SHA256(),
backend=default_backend(),
)
with open(new_filename, "wb") as keyfile:
keyfile.write(public_key.public_bytes(serialization.Encoding.PEM))
現在就可以實作一個csr請求互動,并使用sign_csr(),需要加載CSR和CA的私鑰和公鑰,
- 從加載CSR開始
csr_file = open("server-csr.pem", "rb")
csr = x509.load_pem_x509_csr(csr_file.read(), default_backend())
print(csr)
'''<builtins.CertificateSigningRequest object at 0x7faadeef9d20>'''
-
將打開server-csr.pem檔案,并使用
x509.load_pem_x509_csr()創建csr物件,接下來,你需要加載CA的公鑰ca_public_key_file = open("ca-public-key.pem", "rb") ca_public_key = x509.load_pem_x509_certificate( ca_public_key_file.read(), default_backend()) print(ca_public_key) '''<Certificate(subject=<Name(C=US,ST=Maryland,L=Baltimore,O=My CA Company,CN=my-ca.com)>, ...)>''' -
創建了一個
ca_public_key物件,它可以被sign_csr()使用,x509模塊有一個便利的load-pem-x509-u certificate()來幫助你,最后一步是加載CA的私鑰:ca_private_key_file = open("ca-private-key.pem", "rb") ca_private_key = serialization.load_pem_private_key( ca_private_key_file.read(), getpass().encode("utf-8"), default_backend(),) print(ca_private_key)
? 回想一下,你的私鑰是使用你指定的密碼加密的,這個密碼在生成CA_private_key時使用,
-
使用這三個組件,你現在可以簽署CSR并生成已驗證的公鑰
sign_csr(csr, ca_public_key, ca_private_key, "server-public-key.pem")
總結一下CSR請求的程序
- 要生成一個CA的私鑰
private_key,這個需要自定義一個password用來加密生成,然后存盤在服務器內部 - CSR服務器通過
private_key生成一個用于CSR請求的私鑰server_private_key以及一個server_csr - 客戶端來訪問的時候,首先會打開
server_csr檔案創建一個CSR物件,同時加載CA的公鑰 - 再生成一個
ca_public_key物件,然后加載CA的私鑰 - 用
sign_csr()進行驗證
客戶端
客戶端可以直接在與網頁進行互動,但我需要的是后續通過socket套接字來完成這一任務
本文來自博客園,作者:ivanlee717,轉載請注明原文鏈接:https://www.cnblogs.com/ivanlee717/p/16859513.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/527875.html
標籤:訊息安全
下一篇:python模擬CSR證書請求