python生成自签名证书

原创

mob649e8155b018 2023-09-14 09:34:41 ©著作权

文章标签 签名证书 Python 网络通信 文章分类 Python 后端开发

©著作权归作者所有：来自51CTO博客作者mob649e8155b018的原创作品，请联系作者获取转载授权，否则将追究法律责任

Python生成自签名证书

在网络通信中，证书是一种数字凭证，用于验证通信双方的身份和确保通信的安全性。自签名证书是一种自己签发的数字证书，不需要任何第三方机构的认证。本文将介绍如何使用Python生成自签名证书，并提供相应的代码示例。

1. 什么是自签名证书

自签名证书，也称为自我签名证书（Self-Signed Certificate），是由使用者自己生成和签名的数字证书。与传统的CA签名的证书不同，自签名证书不需要经过任何第三方机构的认证。自签名证书可以用于内部网络通信，或者用于测试和开发环境中。

自签名证书中包含了以下信息：

主题（Subject）：证书持有者的身份信息。
公钥（Public Key）：证书持有者的公钥。
签名（Signature）：证书颁发者对证书内容的签名，用于验证证书的真实性。

自签名证书的安全性取决于私钥的安全性。私钥泄露后，攻击者就可以伪造证书进行中间人攻击。

2. 生成自签名证书的步骤

生成自签名证书的步骤主要包括以下几个部分：

生成私钥和公钥对。
创建证书请求，包含证书持有者的身份信息和公钥。
使用私钥对证书请求进行签名，生成证书。
配置Web服务器使用生成的证书。

下面，我们将使用Python代码来演示生成自签名证书的整个过程。

2.1 生成私钥和公钥对

首先，我们使用Python的cryptography库来生成私钥和公钥对。安装cryptography库可以使用以下命令：

pip install cryptography

然后，我们可以使用如下代码生成私钥和公钥对：

from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives import serialization

private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048
)

private_pem = private_key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.PKCS8,
    encryption_algorithm=serialization.NoEncryption()
)

public_key = private_key.public_key()

public_pem = public_key.public_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PublicFormat.SubjectPublicKeyInfo
)

with open('private.key', 'wb') as f:
    f.write(private_pem)

with open('public.key', 'wb') as f:
    f.write(public_pem)

在上述代码中，我们使用rsa.generate_private_key函数生成私钥，然后使用private_key.private_bytes函数将私钥序列化为PEM格式，并保存到private.key文件中。同时，我们也生成了公钥，并将其序列化为PEM格式，保存到public.key文件中。

2.2 创建证书请求

接下来，我们需要创建证书请求，包含证书持有者的身份信息和公钥。我们使用Python的cryptography库来生成证书请求。

from cryptography import x509
from cryptography.x509.oid import NameOID
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives import serialization

private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048
)

subject = x509.Name([
    x509.NameAttribute(NameOID.COUNTRY_NAME, u"US"),
    x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, u"California"),
    x509.NameAttribute(NameOID.LOCALITY_NAME, u"San Francisco"),
    x509.NameAttribute(NameOID.ORGANIZATION_NAME, u"My Company"),
    x509.NameAttribute(NameOID.COMMON_NAME, u"www.example.com"),
])

public_key = private_key.public_key()

builder = x509.CertificateSigningRequestBuilder().subject_name(subject)
builder = builder.add_extension(
    x509.SubjectAlternativeName([x509.DNSName(u"localhost")]),
    critical=False,
)

csr = builder.sign(private_key, hashes.SHA256())

csr_pem = csr.public_bytes(serialization.Encoding.PEM)

with open("csr.pem", "