python模拟CSR证书请求

羊蹓狼  金牌会员 | 2022-11-5 12:03:20 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 880|帖子 880|积分 2640

CSR——python

TTP处理证书


  • 创建证书签名请求(CSR):类似于填写签证信息
  • 将CSR发送给可信的第三方(TTP):这就像将你的信息发送到签证申请TTP办公室
  • 验证信息:不管怎样,TTP需要验证你提供的信息
  • 生成一个公钥:TTP签署你的CSR。这相当于TTP签署你的签证
  • 签发已验证的公钥:这相当于你在邮件中收到签证
注意:CSR以加密的方式绑定了你的私钥,因此,信息公钥、私钥和证书颁发机构的所有三个部分都以某种方式相关。这将创建所谓的信任链,因此你现在拥有一个有效的证书,可以用来核实你的身份。
python实现

可以在自己的机器上设置整个PKI基础设施,这正是本节中要做的。没有听起来那么难,所以别担心!成为一个真正的证书颁发机构要比采取以下步骤困难得多,但你将要读到的大体上是你运行自己的CA(证书颁发机构)所需的全部内容。
初始公钥和私钥对将是自签名证书。如果你真的要成为一个CA(证书颁发机构),那么这个私钥的安全是非常重要的。如果有人可以访问CA的公钥和私钥对,他也可以生成一个完全有效的证书,并且除了停止信任你的CA之外,你无法检测该问题。python当中我们使用socket套接字模拟了一套客户端和服务器。私钥保存在服务器上,生成私钥代码如下:
  1. from cryptography.hazmat.backends import default_backend
  2. from cryptography.hazmat.primitives import serialization
  3. from cryptography.hazmat.primitives.asymmetric import rsa
  4. '''
  5. 使用RSA算法生成私钥
  6. '''
  9. def generate_private_key(filename: str, passphrase: str):
  10.     private_key = rsa.generate_private_key(
  11.         public_exponent=65537, key_size=2048, backend=default_backend()
  12.     )
  14.     utf8_pass = passphrase.encode("utf-8")
  15.     algorithm = serialization.BestAvailableEncryption(utf8_pass)
  17.     with open(filename, "wb") as keyfile:
  18.         keyfile.write(
  19.             private_key.private_bytes(
  20.                 encoding=serialization.Encoding.PEM,
  21.                 format=serialization.PrivateFormat.TraditionalOpenSSL,
  22.                 encryption_algorithm=algorithm,
  23.             )
  24.         )
  25.                 '''
  26.                 按指定的文件名将私钥写入磁盘。此文件使用提供的密码来加密。
  27.                 '''
  28.     return private_key
复制代码
此时就有两种方法可以生成私钥。
绕过CSR请求直接生成私钥

这个方法可以简单模拟证书签名机制。
  1. from datetime import datetime, timedelta
  2. from cryptography import x509
  3. from cryptography.x509.oid import NameOID
  4. from cryptography.hazmat.primitives import hashes
  6. def generate_public_key(private_key, filename, **kwargs):
  7.     subject = x509.Name(
  8.         [
  9.             x509.NameAttribute(NameOID.COUNTRY_NAME, kwargs["country"]),
  10.             x509.NameAttribute(
  11.                 NameOID.STATE_OR_PROVINCE_NAME, kwargs["state"]
  12.             ),
  13.             x509.NameAttribute(NameOID.LOCALITY_NAME, kwargs["locality"]),
  14.             x509.NameAttribute(NameOID.ORGANIZATION_NAME, kwargs["org"]),
  15.             x509.NameAttribute(NameOID.COMMON_NAME, kwargs["hostname"]),
  16.         ]
  17.     )
  19.     # Because this is self signed, the issuer is always the subject
  20.     issuer = subject '''这个地方由于是自签名,所以颁发者和使用者一样,不过通过CSR请求的时候,颁发者和使用者将会通过传参的方式写入'''
  22.     # This certificate is valid from now until 30 days
  23.     valid_from = datetime.utcnow()
  24.     valid_to = valid_from + timedelta(days=30)
  26.     # Used to build the certificate
  27.     builder = (
  28.         x509.CertificateBuilder()
  29.         .subject_name(subject)
  30.         .issuer_name(issuer)
  31.         .public_key(private_key.public_key())
  32.         .serial_number(x509.random_serial_number())
  33.         .not_valid_before(valid_from)
  34.         .not_valid_after(valid_to)
  35.     )
  36.     '''
  37.                 所有必需的信息添加到公钥生成器对象中,该对象需要进行签名。
  38.     '''
  40.     # Sign the certificate with the private key
  41.     public_key = builder.sign(
  42.         private_key, hashes.SHA256(), default_backend()
  43.     ) '''用私钥签署公钥'''
  45.     with open(filename, "wb") as certfile:
  46.         certfile.write(public_key.public_bytes(serialization.Encoding.PEM))
  48.     return public_key
复制代码
使用上述两个函数我们就可以简单的实现快速生成公私钥对(key pair)
首先假设在服务器端生成好私钥(这个东西就不再变了)
  1. private_key = generate_private_key("ca-private-key.pem", "password_by_yourself")
  2. print(private_key)
  3. >>> <cryptography.hazmat.backends.openssl.rsa._RSAPrivateKey object at 0x7ff05e22d700>
复制代码
此时目录下会生成一个CA_private_key.pem的文件,文件内容格式为:
  1. -----BEGIN RSA PRIVATE KEY-----
  2. Proc-Type: 4,ENCRYPTED
  3. DEK-Info: AES-256-CBC,5AF31374022ED7399D94EC644576265F
  5. BRF3XTbzPNMYIG3H+L34EzdxgLY7zw/Cl1+bqooup/cbVwJN55+U5KDHfx1ANdEh
  6. XvNcl8Ojeo3a+tuh78WHa68VePMYGRasOjORY1eIoqh+FKTBS3gpN9VcPpMdI2eC
  7. L+vxhIP3e0gPqqJ3HVWvuOAAHhdS0HgkNklDdYyWNa3UTp48Z/09oi+TL7JGH7i7
  8. i2BTyXkpnzVSQDxOhQ4J0VrO4iikluD5D1Vy5LQgQFxMYrcIpToCaH7tR8zt2gdx
  9. 3EyjVZoh5Cmm7YZaQ1KgFXmNrDu3wwZVHAmt2tvCuSFYTO0XZzY5R+kwk9UI0E02
  10. TnVXqriogHptCZlBaTusz+s2SvoX0ntkTNraD4JXAPX+Foxo4yMmFaXelWwFA3/q
  11. Kkiclfwsj6+V019HUyr5os84lmLBewQP/Og52QFUHjvRYwjGdw12P23dXLtNsaU9
  12. OlR4cS4O9RocTD19yjDtAhnBP4rfaN0Av9CgNkPohR1bDk5IQ9xD8akgVF0m9fa/
  13. DjD5DE8+tYhnWJ7exDlEKIPRfkmL+soD5Hq1lk3dcWcmSUpL77AlzWEVi3azqW9z
  14. r1ky4RUNsQV+MVLFdlMyK3J7o6Nn4FtT7micy9BilLI3sKRHdeGppeLySxFo8BaQ
  15. 4dDkPu6503HsaWu1PXw6ZFozJBwVAOVLHVazgbAtXWJNPbKd6XrZn6B3Ivwkny7z
  16. 36TKN+xMxYU4y7MJ25hQy5fxjF4j6oHsuWn9s9vB/7sSd9Q5BkJ+oFGfY0UP3abw
  17. JVjYVd3AadNFI8pgdjYhft7BN3zYsMHFGEv55ww+52i9rVtJ2/eYdc6PV7u1PIoc
  18. ooYm6O8H1hCrbtR9lNTLj2LCX/dyhVkHbeqnY/HKapi+3bbvEU+sI19yCUZn2KtV
  19. d/Fm1KPdHMarbhHRvYH6gHD4ZLi0x2tXbHHKiSMSsalJDH7giClLM/KmUxivXank
  20. 4k7DcmQ3efTQC62rgh65XGDqozosXHku+6l5FHZY5HMHqm6ThRa85qWCmOaLmu0o
  21. 4lhT3qLI+PWAeipGjGghGDa1xbYGqol0gZoEvX83Dh5YNzjlKLP0d4D7PxXzvdvr
  22. fD+uWzdxd/JjREIdL/d3k7ZnmVfZeygQDSHabQLcz9JIU/yi61hLLTjiHvhLq3+e
  23. pTMjNILBfyYcZ5xxGgXSgcskZgjR3yNL8XcLwUdeVXxWJXgF50sLj9FiRcbW4QtS
  24. rgiyC+8J8f5UIQJar7/Sd8j4RHJ1V6zjFGf9E2heiGN2Hs6XT5AQr3Zg94bXDh7q
  25. 8Vfq6Pqn3apJO+2xAGePyak+dyHZ3YIP+qYcbJcrS7JsnR+i+sriLGHmh1l/xhOV
  26. XHUsQxOPSma9UkQs63D9S+wVEGaEFGjYFKC2LoGnBd1r1+OdElS+Skk2xmiacLlM
  27. lhuGAKknmnxP1XQxNgc/q7+UpRPnV8Y+mmbmGhwrXgtwlLLU33wHIUFMG4ZqB9+p
  28. +y1rUgyxTGESvo0nXuWUotIQvT1PlFpE7Tn+eHjmOIOqk2uQO2xMnGynl8jZZJX7
  29. klMlRJm9VhszE1UTiEjaUE54UEENsNmbwCfAMWT1PdOi/es4HCuCi+l0ymqZctym
  30. -----END RSA PRIVATE KEY-----
复制代码
这个东西会成为生成公钥到来源,生成公钥需要自己写一些参数
  1. key = generate_public_key(
  2.     private_key,
  3.     filename="ca-private-key.pem",
  4.     country="US",
  5.     state="Maryland",
  6.     locality="Baltimore",
  7.     org="My CA Company",
  8.     hostname="my-ca.com",
  9.     )
  10. print(key)
复制代码

现在就拥有了两个文件,一个是公钥,一个是私钥。
经过CSR请求
  1. def generate_csr(private_key, filename, **kwargs):
  2.     subject = x509.Name(
  3.         [
  4.             x509.NameAttribute(NameOID.COUNTRY_NAME, kwargs["country"]),
  5.             x509.NameAttribute(
  6.                 NameOID.STATE_OR_PROVINCE_NAME, kwargs["state"]
  7.             ),
  8.             x509.NameAttribute(NameOID.LOCALITY_NAME, kwargs["locality"]),
  9.             x509.NameAttribute(NameOID.ORGANIZATION_NAME, kwargs["org"]),
  10.             x509.NameAttribute(NameOID.COMMON_NAME, kwargs["hostname"]),
  11.         ]
  12.     )
  14.     # Generate any alternative dns names
  15.     alt_names = []
  16.     for name in kwargs.get("alt_names", []):
  17.         alt_names.append(x509.DNSName(name))
  18.     san = x509.SubjectAlternativeName(alt_names) '''设置备用DNS名称,该名称对你的证书有效'''
  20.     builder = (
  21.         x509.CertificateSigningRequestBuilder()
  22.         .subject_name(subject)
  23.         .add_extension(san, critical=False)
  24.     )
  26.     csr = builder.sign(private_key, hashes.SHA256(), default_backend())'''用私钥签署CSR'''
  27.     with open(filename, "wb") as csrfile:
  28.         csrfile.write(csr.public_bytes(serialization.Encoding.PEM))
  30.     return csr
复制代码
为了创建CSR,首先需要一个私钥。幸运的是,你可以在创建CA的私钥时使用相同的generate_private_key() 。使用上面的函数和前面定义的方法,可以执行以下操作:
  1. server_private_key = generate_private_key("server-private-key.pem", "serverpassword")
  2. print(server_private_key)
  4. generate_csr(
  5.     server_private_key,
  6.     filename="server-csr.pem",
  7.     country="US",
  8.     state="Maryland",
  9.     locality="Baltimore",
  10.     org="My Company",
  11.     alt_names=["localhost"],
  12.     hostname="my-site.com")
复制代码

有了这两个文档,现在可以开始对密钥进行签名。通常,在这一步中会进行大量的验证。在实际项目中,CA会确保你拥有my-site.com,并要求你以各种方式证明它。在自己模拟CA服务器和客户端的时候,可以避免这些麻烦的证明,创建你自己的已验证的公钥。为此,你将在pki_helpers.py文件中添加另一个函数
  1. def sign_csr(csr, ca_public_key, ca_private_key, new_filename):
  2.     valid_from = datetime.utcnow()
  3.     valid_until = valid_from + timedelta(days=30)
  5.     builder = (
  6.         x509.CertificateBuilder()
  7.         .subject_name(csr.subject)
  8.         .issuer_name(ca_public_key.subject)
  9.         .public_key(csr.public_key())
  10.         .serial_number(x509.random_serial_number())
  11.         .not_valid_before(valid_from)
  12.         .not_valid_after(valid_until)
  13.     )
  15.     for extension in csr.extensions:
  16.         builder = builder.add_extension(extension.value, extension.critical)
  18.     public_key = builder.sign(
  19.         private_key=ca_private_key,
  20.         algorithm=hashes.SHA256(),
  21.         backend=default_backend(),
  22.     )
  24.     with open(new_filename, "wb") as keyfile:
  25.         keyfile.write(public_key.public_bytes(serialization.Encoding.PEM))
复制代码
现在就可以实现一个csr请求交互,并使用sign_csr(),需要加载CSR和CA的私钥和公钥,

  • 从加载CSR开始
  1. csr_file = open("server-csr.pem", "rb")
  2. csr = x509.load_pem_x509_csr(csr_file.read(), default_backend())
  3. print(csr)
  4. '''<builtins.CertificateSigningRequest object at 0x7faadeef9d20>'''
复制代码

  • 将打开server-csr.pem文件,并使用x509.load_pem_x509_csr()创建csr对象。接下来,你需要加载CA的公钥
    1. ca_public_key_file = open("ca-public-key.pem", "rb")
    2. ca_public_key = x509.load_pem_x509_certificate(
    3.     ca_public_key_file.read(),
    4.     default_backend())
    5. print(ca_public_key)
    6. '''<Certificate(subject=<Name(C=US,ST=Maryland,L=Baltimore,O=My CA Company,CN=my-ca.com)>, ...)>'''
    复制代码
  • 创建了一个ca_public_key对象,它可以被sign_csr()使用。x509模块有一个便利的load-pem-x509-u certificate()来帮助你。最后一步是加载CA的私钥:
    1. ca_private_key_file = open("ca-private-key.pem", "rb")
    2. ca_private_key = serialization.load_pem_private_key(
    3.     ca_private_key_file.read(),
    4.     getpass().encode("utf-8"),
    5.     default_backend(),)
    7. print(ca_private_key)
    复制代码

​                回想一下,你的私钥是使用你指定的密码加密的,这个密码在生成CA_private_key时使用。

  • 使用这三个组件,你现在可以签署CSR并生成已验证的公钥
    1. sign_csr(csr, ca_public_key, ca_private_key, "server-public-key.pem")
    复制代码
总结一下CSR请求的过程


  • 要生成一个CA的私钥private_key,这个需要自定义一个password用来加密生成,然后存储在服务器内部
  • CSR服务器通过private_key生成一个用于CSR请求的私钥server_private_key以及一个server_csr
  • 客户端来访问的时候,首先会打开server_csr文件创建一个CSR对象,同时加载CA的公钥
  • 再生成一个ca_public_key对象,然后加载CA的私钥
  • 用sign_csr()进行验证

客户端

客户端可以直接在与网页进行交互,但我需要的是后续通过socket套接字来完成这一任务

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

羊蹓狼

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表