Python 创建电子证书

最新推荐文章于 2024-10-16 10:53:29 发布
最新推荐文章于 2024-10-16 10:53:29 发布
阅读量1.1k 收藏 2
点赞数
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44465615/article/details/125776608
版权
这段代码实现了自动生成X509证书和SSL密钥对的功能。通过cryptography库,可以创建自签名证书或使用已有CA证书进行签名。用户可以选择是否创建CA证书,并提供组织名、通用名和国家等信息。生成的私钥和证书以PEM格式保存到文件中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

import OpenSSL
import os
from cryptography.hazmat.primitives import serialization
import random
from datetime import datetime as dt
from datetime import timedelta
try:
    from cryptography import x509
    from cryptography.x509.oid import NameOID
    from cryptography.hazmat.backends import default_backend
    from cryptography.hazmat.primitives import hashes
    from cryptography.hazmat.primitives.asymmetric import rsa
except ImportError:
    raise TypeError("Using ad-hoc certificates requires the cryptography library.")
def generate_key(public_exponent=100253,key_size=2048):
    pkey = rsa.generate_private_key(
        public_exponent=65537, key_size=2048, backend=default_backend()
    )
    return pkey
def generate_adhoc_ssl_pair(cn=None,pkey=None,
                            sub_user_name='A',sub_common_name='local_host',sub_country_name='cn',
                            isr_user_name='A',isr_common_name='local_host',isr_country_name='cn',
                            sign=None
                            ):
    if pkey == None:
        pkey = rsa.generate_private_key(
            public_exponent=65537, key_size=2048, backend=default_backend()
        )

    # pretty damn sure that this is not actually accepted by anyone
    if cn is None:
        cn = u"*"
    # subject:使用者
    subject = x509.Name(
        [
            x509.NameAttribute(NameOID.ORGANIZATION_NAME, sub_user_name),
            x509.NameAttribute(NameOID.COMMON_NAME, sub_common_name),
            x509.NameAttribute(NameOID.COUNTRY_NAME, sub_country_name)
        ]
    )

    # issuer:颁发者
    issuer = x509.Name(
        [
            x509.NameAttribute(NameOID.ORGANIZATION_NAME, isr_user_name),
            x509.NameAttribute(NameOID.COMMON_NAME, isr_common_name),
            x509.NameAttribute(NameOID.COUNTRY_NAME, isr_country_name),
        ]
    )

    # cert使用私钥签名(.sign(私钥,摘要生成算法,填充方式)),使用x509.CertificateBuilder()方法生成证书,证书属性使用下列函数叠加补充
    if sign == None:
        private_key = pkey
    else:
        private_key = sign
    cert = (
        x509.CertificateBuilder()
            .subject_name(subject)
            .issuer_name(issuer)
            .public_key(pkey.public_key())
            .serial_number(x509.random_serial_number())
            .not_valid_before(dt.utcnow() + timedelta())
            .not_valid_after(dt.utcnow() + timedelta(days=365))
            .sign(private_key, hashes.SHA256(), default_backend())
    )
    # 最终生成的证书与密钥对为类对象,要保存在文件中还需要进一步转换成字节格式
    return cert
if __name__ == '__main__':
    print('创建X509证书')
    print('是否建立CA证书(Y/N)')
    C=input()
    if C =="Y":
        print('开始创建密钥对')
        pkey = generate_key(random.randint(0,10000000),2048)
        print('机构名: ')
        orgName=input()
        print('通用名: ')
        comName=input()
        print('国家: ')
        countryName=input()
        cert=generate_adhoc_ssl_pair(cn=None, pkey=pkey,
                                    sub_user_name=orgName, sub_common_name=comName, sub_country_name=countryName,
                                    isr_user_name=orgName, isr_common_name=comName, isr_country_name=countryName
                                    )
        private_text = pkey.private_bytes(
            encoding=serialization.Encoding.PEM,
            format=serialization.PrivateFormat.TraditionalOpenSSL,
            encryption_algorithm=serialization.NoEncryption()
        )
        print(private_text)

        # 将私钥字节串保存到文件中
        with open(orgName+'_signed_pkey.key', mode='wb') as pkey_file:
            pkey_file.write(private_text)

        cert_text = cert.public_bytes(serialization.Encoding.PEM)
        print(cert_text)
        # 将证书字节串保存到文件中
        with open(orgName+'_signed.cer', mode='wb') as cert_file:
            cert_file.write(cert_text)
    if C == "N":
        print('请输入颁发机构:')
        lsr=input()
        if not os.path.exists(lsr+'_signed.cer') or not os.path.exists(lsr+'_signed_pkey.key'):
            print('未发现颁发者')
        else:
            print('载入CA证书')
            with open(lsr+'_signed.cer', mode='r') as cert_file:
                isr_cert_text=cert_file.read()
            #print(cert_text)
            isr_cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM,
                                                   isr_cert_text)
            isr_certIssue = isr_cert.get_issuer()

            for item in isr_certIssue.get_components():
                if item[0].decode("utf-8") == 'O':
                    lsr_org_name = item[1].decode("utf-8")
                elif item[0].decode("utf-8") == 'CN':
                    lsr_common_name = item[1].decode("utf-8")
                elif item[0].decode("utf-8") == 'C':
                    lsr_country_name = item[1].decode("utf-8")
            print('开始创建密钥对')
            pkey = generate_key(random.randint(0, 10000000), 2048)
            print('机构名: ')
            orgName = input()
            print('通用名: ')
            comName = input()
            print('国家: ')
            countryName = input()

            with open(lsr+'_signed_pkey.key', 'r') as f:
                lsr_private_key_text = f.read()
            lsr_private_key = OpenSSL.crypto.load_privatekey(OpenSSL.crypto.FILETYPE_PEM,
                                                     lsr_private_key_text)
            lsr_private_key = lsr_private_key.to_cryptography_key()
            cert = generate_adhoc_ssl_pair(cn=None, pkey=pkey,
                                       sub_user_name=orgName, sub_common_name=comName, sub_country_name=countryName,
                                       isr_user_name=lsr_org_name, isr_common_name=lsr_common_name, isr_country_name=lsr_country_name,
                                        sign=lsr_private_key
                                       )
            private_text = pkey.private_bytes(
                encoding=serialization.Encoding.PEM,
                format=serialization.PrivateFormat.TraditionalOpenSSL,
                encryption_algorithm=serialization.NoEncryption()
            )
            print(private_text)

            # 将私钥字节串保存到文件中
            with open(orgName + '_signed_pkey.key', mode='wb') as pkey_file:
                pkey_file.write(private_text)

            cert_text = cert.public_bytes(serialization.Encoding.PEM)
            print(cert_text)
            # 将证书字节串保存到文件中
            with open(orgName + '_signed.cer', mode='wb') as cert_file:
                cert_file.write(cert_text)
夏荷影
关注
Python 生成数字证书(CA),证书签发,RSA加密,验签
weixin_42075141的博客
12-23 2273
CA证书签发 公钥加密,私钥解密 私钥加密,公钥验签
python中使用openssl构建root证书,CSR,并验证
最新发布
小小熊的博客
03-25 391
【代码】python中使用openssl构建root证书,CSR,并验证。
使用Python写一个可视化生成https证书的小工具
moyanxiaoq的博客
11-30 1025
背景 1、使用jdk自带Keytool+tomcat项目http转单向https 2、使用Keytool生成双向https证书提供请求工具类 3、安装生成的https证书详细步骤少走弯路 上面的三个文章值之前分享的生成单向和双向https证书已经证书安装的详细步骤。 但是生成的步骤比较繁琐,每次要手动收入很多命令,一不小心错了还有从来。 工作中项目安装的地点也比较多每次的IP地址也不一样,所有想着做一个一劳永逸的小工具。 环境准备 电脑中已经安装jdk并配置好环境变量 电脑中安装Python3 安装Pyt
Python 使用 OpenSSL 生成自签名 SSL 证书
weixin_67653538的博客
10-16 1442
在某些开发场景中,你可能需要为你的本地服务器或者测试环境生成自签名的 SSL 证书。本篇博客将介绍如何使用 Python 的OpenSSL库生成一个包含多个域名的自签名证书。
python生成免费的ssl证书
zhang804633234的专栏
06-10 561
执行 pip install cryptography。生成可信任的SSL证书 需要在域名服务器执行。测试SSL证书不需要验证域名权限。
Python-用于生成证书和TrueLicense许可证的Python
08-10
用于生成证书和TrueLicense许可证的Python
python_bulkcertificate:使用python创建事件的批量证书
03-06
使用python创建事件的批量证书 更多信息: : 该脚本的功能: 将Excel工作表用作用户数据库–仅需要“名称和电子邮件”列。 可用于生成pdf文件,而无需发送电子邮件。 Gmail可用于发送邮件。 可以将任何其他...
python生成数字证书_makecert 制作数字证书
weixin_39576149的博客
12-18 1788
在MS的SDK6.0中有个证书生成工具makecert.exe, 你可以使用这个工具来生成测试用的证书。第一步,生成一个自签名的根证书(issuer,签发者)。>makecert -n "CN=Root" -r -sv RootIssuer.pvk RootIssuer.cer这个时候,会弹出提示框,首先给RootIssuer.pvk文件设置私钥保护口令;然后,再次输入这个口令用私钥(在Ro...
基于python检查SSL证书到期情况代码实例
09-17
例如,你可以添加日志记录功能,将证书信息保存到数据库,或者结合电子邮件通知,当证书即将到期时自动发送警告。此外,还可以将代码集成到定时任务中,定期检查多个域名的SSL证书状态。 总结来说,这个Python代码...
计算机毕业设计 基于Python的荣誉证书管理系统的设计与实现 Python毕业设计 Python毕业设计选题 Django框架 Vue【附源码+安装调试】
m0_74181697的博客
10-07 3611
基于Python的荣誉证书管理系统是一个为教育机构设计的证书管理平台,提供证书生成、存储、查询和管理功能。系统旨在提高管理效率,增强证书安全性,优化查询体验,并支持教育决策。该系统有助于推动教育信息化,提升教育机构的管理水平。
Python批量创建证书工具:自动化事件证书生成
通过本项目,我们可以了解到如何利用Python的强大功能来自动化创建和发送证书的过程。这涉及到数据的读取与处理、PDF文件的生成、电子邮件的发送以及图像的准备与整合。熟悉这些知识点不仅可以提高工作效率,还可以...
Python数字证书分析
07-21
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,用Python对证书进行解析,简单易懂。
openssl生成认证证书的工具
10-21
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。 方法如下: 命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 执行过程中会询问你一些信息,比如国家代码,省市等,其中需要填写两个密码,一次在开头,一次在最后,请保持两个密码相同。比如,我将密码都设成s3cret。 如果不同,启动会报错,大概是下面这样的 java.io.IOException: Cannot recover key 执行完成后会生成一个.keystore文件,将它复制到tomcat的bin目录下(并不一定,放哪里都可以) 打开conf目录下的server.xml文件,找到以下这一段 它被注释掉了,将注释去掉,并将这一段改成以下 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。 到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开https。https也就起不了什么作用了。因此要强制访问https。 打开你的web应用的web.xml文件,在最后加上这样一段 Protected Context /* CONFIDENTIAL 重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接 https://localhost:8443/mywebapp/。这样,我们的目的达到了。 但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。 那么还有一种稍微复杂点的方式,我们使用openssl。 首先,需要下载openssl,为了方便,可以下载一个绿色版, 加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr的证书请求文件。 如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书 如果你只是要使用https,那么证书自己签署就可以了。 在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令 openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650 现在你将得到一个名为cert.cer的证书文件。 修改server.xml将 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下) maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/cert.cer" SSLCertificateKeyFile="conf/server.key" sslProtocol="TLS" /> PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下 maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/server.cer" SSLCertificateKeyFile="conf/server.key" SSLCertificateChainFile="conf/intermediate.cer" sslProtocol="TLS" /> 因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。 可能证书颁发机构只会给你服务器证书也就是server.cer, 中级的CA证书即 intermediate.cer 需要到 证书颁发机构提供的网站中去下载,具体的操作会为证书颁发机构给发的邮箱中会有相关的提示 好了,到这里都配置完了,重启tomcat,就可以看到效果。不过,看到的通常会是一个exception,大概是说APR not available 如果遇到这个异常,说明你的tomcat没有安装apr支持 apr安装详见:http://www.blogjava.net/yongboy/archive/2009/08/31/293343.html 之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。
python批量生成图片证书和二维码
qq_40753021的博客
02-10 399
【代码】python批量生成图片证书和二维码。
新手实践---python做一份数字证书的实践(一)--公私密钥对的生成
qq_62348394的博客
07-17 997
Private_bytes方法:输入解码,格式,加密算法(这三个参数都是serialization中的类),最后给出BIO格式的数据。Encoding可选pem,der,openssh,raw,ansi,s/mime,其它的不在这里列举了。ASN.1 ------(序列化)------ DER ------(Base64编码)------ PEM。按照顺序,为版本号,n,长度,d,p,q,dmod(p-1), d mod(q-1),q-1modp,e。似乎存的是地址,另外一个_rsa_cdata也是地址。
python证书生成篇
lwn556u5ut的博客
01-26 4406
def generate_adhoc_ssl_pair(cn=None): from datetime import datetime as dt from datetime import timedelta try: from cryptography import x509 from cryptography.x509.oid import NameOID from cryptography.hazmat.backends imp.
SSL自签署证书生成脚本
00's Blog
11-09 1688
view plainprint? #!/bin/sh   #      # ssl 证书输出的根目录。   sslOutputRoot="/etc/apache_ssl"   if [ $# -eq 1 ]; then       sslOutputRoot=$1   fi   if [ ! -d ${sslOutputRoot} ]; then       mkd
python 数字证书_用于生成WebService使用的数字证书及签署证书.python脚本
weixin_39611037的博客
02-09 256
#! /bin/env python# -*- encoding:gbk -*-"""用于生成WebService使用的CA及并且签署证书"""import sys,shutil,os,subprocess,getpassconfigure={"debug":False}def quiet_run(cmd,argstr=None):nf=file(os.devnull,"rw")if config...
openssl制作证书全过程
热门推荐
人生是自己设计的一次快乐旅行
06-11 2万+
一:生成CA证书  目前不使用第三方权威机构的CA来认证,自己充当CA的角色。   先决条件:从openssl官网下载www.openssl.org                安装openssl[windows和linux安装不同] 开始生成证书和密钥 如果没有配置环境变量,则需要进入openssl的bin目录下执行命令,如:C:/OpenSSL/
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值