证书认证

最新推荐文章于 2023-08-08 17:04:04 发布
最新推荐文章于 2023-08-08 17:04:04 发布
阅读量403 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16317031/article/details/110038977
版权
本文详细介绍了如何在Python2.7环境中进行双向SSL认证,包括生成SSL证书、配置web服务器、验证SSL证书的过程,并提供了相应的Python代码示例。同时,文章提到了Chrome58之后浏览器对SSL证书的变更,强调了配置subjectAltName的重要性。
摘要由CSDN通过智能技术生成

Python2.7双向认证

一、生成SSL证书

生成CA根证书
  1. 准备ca配置文件,得到ca.conf
    vi ca.conf

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Sy
localityName = Locality Name (eg, city)
localityName_default = Sy
organizationName = Organization Name (eg, company)
organizationName_default = Sheld
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = CA Test

  1. 生成ca秘钥,得到ca.key
    openssl genrsa -out ca.key 4096

  2. 生成ca证书签发请求,得到ca.csr

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf
配置文件中已经有默认值,shell交互时一路回车就行。

  1. 生成ca根证书,得到ca.crt

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

生成终端用户证书
  1. 准备配置文件,得到server.conf
    vi server.conf

[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Sy
localityName = Locality Name (eg, city)
localityName_default = Sy
organizationName = Organization Name (eg, company)
organizationName_default = Sheld
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = www.xxx.com
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.xxx.com
DNS.2 = www.xxx1.com
IP = 10.10.127.12
Chrome 58以后不再使用CN校验地址(就是就是浏览器地址栏URL中的那个地址host)了,而是使用SAN,注意配置里写对。IE 11还是使用CN

  1. 生成秘钥,得到server.key

openssl genrsa -out server.key 2048

  1. 生成证书签发请求,得到server.csr

openssl req -new -sha256 -out server.csr -key server.key -config server.conf
配置文件中已经有默认值了,shell交互时一路回车就行。

  1. 用CA证书生成终端用户证书,得到server.crt

openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -extensions req_ext -extfile server.conf

验证

  1. 配置web服务器
    python manage.py runserver_plus --cert-file server.crt --key-file server.key 0.0.0.0:8000
    把生成好的server.crt和server.key文件放在与应用同一目录下。

  2. 添加CA根证书
    右键ca.crt安装,安装到“受信任的根证书颁发机构”(不然server.crt还是不受信任的)

  3. 改hosts

    客户端机器,Windows系统本地测试,改下hosts以访问域名

    C:\Windows\System32\drivers\etc\hosts

    添加如下内容

    127.0.0.1 www.xxx.com

  4. 启动web服务,Chrome浏览器访问https://www.xxx.com
    FireFox配置参照网上教程导入ca证书即可。

二、验证SSL证书

生成pem证书

通过ca.crt证书生成PEM证书
openssl x509 -in ca.crt -out mycert.pem -outform PEM

python2.7 mock
vim mock.py

import json
import requests

url='https://IP地址:8000/接口路径'

req_data = {参数列表}
requests.packages.urllib3.disable_warnings()
resp = requests.request('POST', url, data=json.dumps(req_data), verify='mycert.pem')
print(resp)

响应结果:
在这里插入图片描述经过多次尝试将requests中verify设置为True,传递cert为元组方式返回结果都是异常。所以为了避免这种现象才采取了verify方式。如有大神通过cert方式实现,请不吝赐教,在此感激不尽~

参考资料

感谢以上博主!

qq_16317031
关注
Linux OpenSSL 生成CA证书及终端用户证书
专注基础架构领域
08-21 2863
一、环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA根证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = re
使用openssl模拟CA和CA证书的签发
GeorgeGuo
06-03 3967
当使用ssl/tls进行加密通信时,必须要有数字证书。若通信只限制在局域网内,可以不向第三方机构申请签发证书,可以通过openssl模拟CA(Certificate Authority),并通过该CA签发证书。下文讲述在Centos7.3上使用openssl工具签发证书的具体步骤。 1 生成模拟CA 1.1 修改配置文件/etc/pki/tls/openssl.cnf 打开opens...
SSL/TLS协议原理与证书签名多种生成方式实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 1998
本章目录:0x00 前言简述CA 认证原理PKI 公钥基础设施0x01 自签名SSL证书生成1.在线(脚本)生成2.OpenSSL 生成3.CFSSL 生成0x03 cfssl 使用实践0x00 前言简述简单快速了解HTTP、HTTPS、SSL、TLS概念:HTTP 是一个网络协议,是专门用来传输 Web 内容,大部分网站都是通过 HTTP 协议来传输 Web 页面、以及...
https配置
dqp2012的博客
05-02 877
这里使用两台虚拟服务器来做演示,一台服务器作为CA服务器,另一台作为HTTP服务器 1.  制作CA自签证书,生成CA私钥 生成CA私钥命令如下: (umask 077; openssl genrsa -out private/cakey.pem 2048) 制作自签证书 openssl req -new -x509 -key private/cakey.pem -out cacert.
Openssl编程获取证书common name
auvKone
05-20 5084
Talk is cheap, show me the code!#include <stdio.h> #include <stdlib.h> #include <assert.h> #include <openssl/bio.h> #include <openssl/x509v3.h>int main(int argc, char **argv) { char cn[256] = "";
吉大正元电子证书认证系统SRQ05v5.0技术白皮书.docx
10-08
吉大正元电子证书认证系统SRQ05v5.0技术白皮书 吉大正元电子证书认证系统SRQ05v5.0技术白皮书是关于SRQ05v5.0版本的技术白皮书,该系统是一个基于PKI(Public Key Infrastructure,公共密钥基础设施)的电子证书...
实现OPC UA服务器功能,OPC UA服务器支持匿名访问、用户认证和客户证书认证
06-29
1. 实现OPC UA服务器功能,OPC UA服务器支持匿名访问、用户认证和客户证书认证。 2. 实现opc ua用户管理功能;管理OPC UA客户端通过用户认证访问服务端所需的用户名和密码。 3. 实现OPC UA访问证书管理功能;管理OPC...
CLA无证书认证系统介绍
01-18
目前无证书认证技术炒得比较火,其公钥可计算获得,代替证书绑定用户身份,特别适合物联网环境,
为windows远程桌面加上SSL证书认证整理.pdf
11-07
"为Windows远程桌面加上SSL证书认证整理.pdf" 在Windows2003操作系统中,微软公司推出了一个安全认证方式的远程桌面功能,允许使用SSL加密信息来传输控制远程服务器的数据,以提高远程桌面的安全级别和保护数据不被...
GBT 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范1
08-03
1. **范围**:规范涵盖了证书认证系统的总体架构、功能要求、系统设计、数字证书证书撤销列表、密钥管理中心、密码算法、安全协议以及系统建设和运行管理等多个方面。它不仅关注技术层面,还涉及了管理和制度层面...
Linux_CA三种申请证书的方法
Jakobus的博客
03-16 3700
第一种: 申请私钥 [root@cs1 ~]# openssl genrsa -out ca.key 4096 Generating RSA private key, 4096 bit long modulus (2 primes) ...............................................................++++ ...................................................................
openssl生成证书
weixin_44776098的博客
08-08 179
Common Name (eg, YOUR name) []:doris_ca 域名或自己名字(ca证书不要用跟服务端证书或者客户端证书一个common name 会报错!Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名。Organizational Unit Name (eg, section) []:gs 组织或部门名。Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
SSL基础:15:证书请求相关配置设定方法
知行合一 止于至善
12-13 849
openssl.cnf是openssl命令的配置文件,很多证书签发和管理相关的设定都是在此配置文件中进行的,这篇文章介绍一下此配置文件中req段相关的配置和设定。
证书配置文件
知识需要积累。
03-02 1713
NAMEDESCRIPTIONCA CONFIGURATION DIRECTIVES[ ca ] Section[ CA_default ] Section[ policy_match ] and [ policy_anything ] SectionsREQ CONFIGURATION DIRECTIVES[ req ][ req_dist
openssl证书请求和自签名
侯海云
09-10 3995
目录目录 概念 PKICAX509 证书获取 获取证书两种方法 安全协议 SSL和TLS协议 OpenSSL OpenSSL开源项目 OpenSSL命令 对称加密enc 单向加密dgst 生成用户密码和随机数 生成密码对儿man genresa 随机数生成器伪随机数字 建立私有CA创建所需要的文件 CA自签证书 生成自签名证书 生成证书的各字段详解 证书申请过程 证书申请及签署步骤 创建CA和申请证
ssl证书 友好名称_什么是SSL证书CN(通用名称)和用法?
热门推荐
cunjiu9486的博客
10-06 1万+
ssl证书 友好名称Common Name or CN is generally used in SSL Certificates. CN is used to define the server name which will be used for secure SSL connection. Generally this SSL certificate used to secure conn...
MAC OpenSSL: OpenSSL CA Signing Error field needed to be the same in the CA certificate
坚果技术基地
07-06 2865
在MAC OS使用命令行OpenSSL生成SSL证书时,openssl报错: The stateOrProvinceName field needed to be the same in the CA certificate (Beijing) and the request (Beijing) 解决方法,编辑:/System/Library/OpenSSL/openssl.cnf
OpenSSL创建私有CA
留记
03-12 2460
PKI 公开密钥基础建设(英语:Public Key Infrastructure,缩写:PKI),又称公开密钥基础架构、公钥基础建设、公钥基础设施或公钥基础架构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。 密码学上,公开密钥基础建设借着数字证书认证机构(CA)将用户的个人身份跟公开密钥链接在一起。对每个证书中心用
基于 OpenSSL 自建 CA 和颁发 SSL 证书
ximenghappy的专栏
02-08 4088
基于 OpenSSL 自建 CA 和颁发 SSL 证书原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 颁发证书不仅可以用来鉴权,而且使你的通信更加的安全(请保护好你的证书)。在实际的软件开发中,越来越多的服务用到 HTTPS,证书的需求随之增加。那么对于我们开发者,通过自签名证书...
ipsec 证书认证 配置
最新发布
12-22
IPSec(Internet Protocol Security)是一种用于在Internet上安全传输数据的协议。在IPSec中,证书认证是一种常见的身份验证方法,它使用数字证书来验证通信双方的身份。下面是IPSec证书认证的配置方法: 首先,需要生成用于IPSec证书认证的数字证书。通常情况下,需要使用证书颁发机构(CA)来生成和签发数字证书。可以通过OpenSSL等工具来生成证书请求(CSR),并将其提交给CA进行签发。签发完成后,将得到的证书和私钥保存在安全的位置。 接下来,需要配置IPSec设备(如防火墙、VPN设备等)来使用证书认证。在配置中,需要指定证书的位置和私钥的位置,以及相关的证书颁发机构的信息。例如,可以配置设备使用特定的数字证书来验证对方的身份,并且指定使用该证书进行安全连接的建立和通信。 另外,还需要配置IPSec的安全策略,以确保只有通过了证书认证的双方才能建立安全连接。可以配置设备只允许使用特定的数字证书进行身份验证,或者限制只有通过了证书认证的对方才能进行数据传输。 最后,在配置完成后,需要进行测试来验证证书认证的配置是否生效。可以通过建立IPSec安全连接,然后检查证书是否成功验证对方的身份,以及数据传输是否受到了证书认证的保护。 总之,IPSec证书认证的配置需要生成和使用数字证书,配置设备来使用证书认证,并进行相应的安全策略设置和测试验证。只有这样,才能确保IPSec连接的安全性和身份验证的有效性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值