X.509证书的使用

最新推荐文章于 2023-11-24 10:59:57 发布
最新推荐文章于 2023-11-24 10:59:57 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: Python编程 安全 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzroy/article/details/120489891
版权

总结一下如何使用X.509证书来保护我们的设备的数据传输。

证书的签发

以下是证书签发的流程,为了更好的演示,我们需要分别创建两个根证书,并且用每个根证书来颁发一个客户端证书。这两个根证书分别为root_1.crt以及root_2.crt,对应的两个客户端证书分别为client_1.crt以及client_2.crt

  1. openssl genrsa -out rootkey.pem 2048
    生成根证书的密匙
  2. openssl req -x509 -new -key rootkey.pem -out root.crt -subj="/C=CN/ST=GD/L=GZ/O=RootCA/OU=RootCA/CN=RootCA"
    生成X509格式根证书
  3. openssl genrsa -out clientkey.pem 2048
    生成客户端的密匙
  4. openssl req -new -key clientkey.pem -out client.csr -subj="/C=CN/ST=GD/L=GZ/O=BMW/OU=Vehicle/CN=Vehicle1"
    生成客户端证书的请求文件,请求根证书来签发
  5. openssl x509 -req -in client.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650 -out client.crt
    用根证书来签发客户端请求文件,生成客户端证书client.crt

证书的验证

验证客户端的证书是否是受信任的机构签发,例如以下的代码将验证client_1.crt是由root_1.crt签发,而client_2.crt不是由root_1.crt签发。

from OpenSSL.crypto import load_certificate, X509Store, X509StoreContext, X509StoreContextError

root_cert_1 = load_certificate(FILETYPE_PEM, open('root_1.crt').read())
root_cert_2 = load_certificate(FILETYPE_PEM, open('root_2.crt').read())
client_cert_1 = load_certificate(FILETYPE_PEM, open('client_1.crt').read())
client_cert_2 = load_certificate(FILETYPE_PEM, open('client_2.crt').read())

store_1 = X509Store()
store_1.add_cert(root_cert_1)
store_2 = X509Store()
store_2.add_cert(root_cert_2)

store_ctx = X509StoreContext(store_1, client_cert_1)
try:
    if store_ctx.verify_certificate()==None:
        print('Verify passed')
except X509StoreContextError:
    print('Verfiy fail')

store_ctx = X509StoreContext(store_1, client_cert_2)
try:
    if store_ctx.verify_certificate()==None:
        print('Verify passed')
except X509StoreContextError:
    print('Verfiy fail')

信息签名

有了证书之后,我们就可以用客户端的证书来对一段消息生成的摘要进行签名,这样可以确保消息没有被第三方篡改。

from cryptography import x509
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.primitives.asymmetric import padding

#Load the private key and sign the message digest
with open("clientkey_1.pem", "rb") as key_file:
    private_key = serialization.load_pem_private_key(key_file.read(),password=None)
message = b"A message I want to sign"
signature = private_key.sign(
    message,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    hashes.SHA256()
)

#Load the public key from cert and verify the signature
client_cert_1 = x509.load_pem_x509_certificate(open('client_1.crt', 'rb').read())
public_key = client_cert_1.public_key()
public_key.verify(
    signature,
    message,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    hashes.SHA256()
)


 

gzroy
关注
专栏目录
[转]使用X.509数字证书加密解密实务(一)-- 证书的获得和管理
09-09 866
使用X.509数字证书加密解密实务(一)-- 证书的获得和管理一、       获得证书... 21、        从CA获得... 22、        从windows2003证书服务中获得... 23、        使用makecert工具获得... 2二、       证书的保存... 21、        保存在证书存储区... 22、       
使用X.509数字证书加密解密实务(一)-- 证书的获得和管理
weixin_33777877的博客
08-18 168
一、       获得证书... 2 1、        从CA获得... 2 2、        从windows2003证书服务中获得... 2 3、        使用makecert工具获得... 2 二、       证书的保存... 2 1、        保存在证书存储区... 2 2、        以文件形式保存... 4 2.1.       带有私钥的证书......
OpenSSL之X509证书用法
sun007700的专栏
03-10 1632
OpenSSL之X509证书用法 - 简书 加密算法和文件格式RSA、X509、PKCSXX? - 知乎 RSA是公钥算法,仅仅是个算法,相当于一块砖头,如何用一个算法构建一个安全体系,还需要其他很多标准的支撑。数字证书和数字签名是红枣基础设施的核心,而X509就是数字证书的标准,规定了数字证书的格式。PKCS,全称是公钥密码标准,目前真在起草的已经到了pkcs#13了吧,也就是说有13个标准,用的来说这些标准就是规范指导人们使用公钥算法,大家都遵守一个标准使用起来才没有歧义,pkcs系列实际上最初
X509_STOREX509_STORE_CTX的用法区别
阿群的笔记(同步备份自简书)
07-03 3634
https://stackoverflow.com/questions/16291809/programmatically-verify-certificate-chain-using-openssl-api static int verify_cb(int ok, X509_STORE_CTX *ctx) { if (!ok) { ...
亚马逊X509证书调用AWS服务
dandingwangzi的专栏
02-11 515
亚马逊X509证书调用AWS服务
常见证书格式和转换
雜貨鋪
03-12 1914
原文地址:http://longkm.blog.163.com/blog/static/116662640200972635221556/   PKCS 全称是 Public-Key Cryptography Standards ,是由 RSA 实验室与其它安全系统开发商为促进公钥密码的发展而制订的一系列标准,PKCS 目前共发布过 15 个标准。 常用的有: PKCS#7 Crypto
X509数字证书学习
mayue_web的博客
06-04 5743
X509证书概念、格式和应用
X509_STORE
好习惯成就伟大
11-16 403
TheX509_STOREstructure is intended to be a consolidated mechanism for holding information about X.509 certificates and CRLs, and constructing and validating chains of certificates terminating in trusted roots. It admits multiple lookup mechanisms and eff..
KeyTool 工具生成X.509证书
08-06
在本文中,我们将深入探讨KeyTool的基本用法、X.509证书的概念,以及如何使用KeyTool生成这种类型的证书。 X.509是一种国际标准,用于定义证书的格式,它包含了公钥和相关标识信息,如组织名称、地理位置等,常用于...
x509:用于 X.509 公钥证书、属性证书、认证请求和认证路径验证的 PHP 库
05-31
X.509 用于 X.509 公钥证书、属性证书、认证请求和认证路径验证的 ... composer require sop/x509 代码示例 示例位于/examples目录中。 创建 CA 证书 创建 CSR 颁发证书 验证认证路径 执照 该项目已获得MIT许可。
X509Parse:X.509证书解析器
07-09
X509Parse是一个基于MFC的小程序,其主要...通过学习和理解X509Parse的源码,开发者可以深入理解X.509证书的工作原理,提升网络安全相关的编程能力。同时,这也有助于构建自己的证书管理工具或集成到更复杂的系统中。
X.509证书的介绍
baron-周贺贺-代码改变世界ctw
10-15 3715
1、X.509简介 X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。 X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准。 2、证书组成
一文读懂X.509证书
最新发布
fengrenfenzd的博客
11-24 1245
1>第一行 0x30 0x 82,0x 30转换成2进制00110000,表示universal,对照表原始数据类型是SEQUENCE,0x 82为长度,转换为二进制10000010,第8位为1表示后面跟的长度,最低两位为2表示后面跟的长度为2位,证书签名是对证书主体进行签名,签名算法有SHA1,SHA256,MD2,MD5,SM2等生成HASH值,采用PKCS1,OAEP方式填充或不填充,再选择相应的非对称加密算法,如RSA,SM2,P256,X25519等进行签名加密。这个数字的最高有效为第5位。
基于X.509证书和SSL协议的身份认证过程实现
weixin_34217773的博客
11-23 154
上周帮一个童鞋做一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,唉!可怜我那点薄弱的计算机网络安全的知识啊!只得恶补一下了。 首先来看看什么是X.509。所谓X.509其实是一种非常通用的证书,什么是证书?唉!这么说吧!当两个人需要进行远程通信而又不想让第三个人知道时就必须建立一种安全措施,因为看不到对方的脸,又不能通过电话直接询问对方,就得想点别的办法...
X509Store
ygzhong000的专栏
05-17 3195
表示 X.509 存储区,该存储区是保留和管理证书的物理存储区。无法继承此类。 命名空间:System.Security.Cryptography.X509Certificates 程序集:System(在 system.dll 中)
使用Python Openssl库解析X509证书信息!应该很多人都碰到过!
爬遍所有网站
04-22 2131
X.509 证书结构描述 常见的X.509证书格式包括: 后缀作用cer/crt用于存放证书,它是2进制形式存放的,不含私钥pem以Ascii来表示,可以用于存放证书或私钥。pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式。p10证书请求p7rCA对证书请求的回复,只用于导入p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。 对于...
怎样获得python证书_如何从python中的x509证书中提取公钥?
weixin_35029653的博客
02-12 1251
已解决密码学Python如何从python中的x509证书中提取公钥?10下面显示了我遵循的代码示例,但是我得到了错误响应 - “无法加载证书”。fromcryptography.x509importload_pem_x509_certificatefromcryptography.hazmat.backendsimportdefault_backendcert_str='----...
X509证书以及相关java常用接口
学习不止境的博客
04-17 6942
例如,如果getNotAfter()返回的值是1649992800000,那么证书的过期日期是2023年4月14日23:59:59 GMT。例如,如果getNotBefore()返回的值是1618476000000,那么证书的生效日期是2021年4月15日00:00:00 GMT。例如,.pem格式的证书是以Base64编码的ASCII文本格式,.crt格式的证书通常是PEM编码的,而.cer格式的证书可以是DER编码或PEM编码。和之前的getIssueDn不同的是,前者是证书持有者,后者是证书颁发者。
Openssl X509_STORE_CTX系列函数
好习惯成就伟大
11-16 3154
DESCRIPTION These functions initialise anX509_STORE_CTXstructure for subsequent use by X509_verify_cert(). X509_STORE_CTX_new() returns a newly initialisedX509_STORE_CTXstructure. X509_STORE_CTX_cleanup() internally cleans up anX509_STORE_CTXstruc...
X.509证书与CRL的ASN.1详解
"ASN.1 for X.509证书和CRL的快速概览" 在信息技术领域,ASN.1(抽象语法标记一号)是一种标准的符号语言,用于定义数据结构,尤其在通信协议和软件的数据交换中广泛使用。X.509是一种国际标准,用于数字证书的格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gzroy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值