证书认证

最新推荐文章于 2022-04-10 13:04:30 发布
最新推荐文章于 2022-04-10 13:04:30 发布
阅读量502 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_16317031/article/details/110038977
版权
本文详细介绍了如何在Python2.7环境中进行双向SSL认证,包括生成SSL证书、配置web服务器、验证SSL证书的过程,并提供了相应的Python代码示例。同时,文章提到了Chrome58之后浏览器对SSL证书的变更,强调了配置subjectAltName的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Python2.7双向认证

一、生成SSL证书

生成CA根证书
  1. 准备ca配置文件,得到ca.conf
    vi ca.conf

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Sy
localityName = Locality Name (eg, city)
localityName_default = Sy
organizationName = Organization Name (eg, company)
organizationName_default = Sheld
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = CA Test

  1. 生成ca秘钥,得到ca.key
    openssl genrsa -out ca.key 4096

  2. 生成ca证书签发请求,得到ca.csr

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf
配置文件中已经有默认值,shell交互时一路回车就行。

  1. 生成ca根证书,得到ca.crt

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

生成终端用户证书
  1. 准备配置文件,得到server.conf
    vi server.conf

[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Sy
localityName = Locality Name (eg, city)
localityName_default = Sy
organizationName = Organization Name (eg, company)
organizationName_default = Sheld
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = www.xxx.com
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.xxx.com
DNS.2 = www.xxx1.com
IP = 10.10.127.12
Chrome 58以后不再使用CN校验地址(就是就是浏览器地址栏URL中的那个地址host)了,而是使用SAN,注意配置里写对。IE 11还是使用CN

  1. 生成秘钥,得到server.key

openssl genrsa -out server.key 2048

  1. 生成证书签发请求,得到server.csr

openssl req -new -sha256 -out server.csr -key server.key -config server.conf
配置文件中已经有默认值了,shell交互时一路回车就行。

  1. 用CA证书生成终端用户证书,得到server.crt

openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -extensions req_ext -extfile server.conf

验证

  1. 配置web服务器
    python manage.py runserver_plus --cert-file server.crt --key-file server.key 0.0.0.0:8000
    把生成好的server.crt和server.key文件放在与应用同一目录下。

  2. 添加CA根证书
    右键ca.crt安装,安装到“受信任的根证书颁发机构”(不然server.crt还是不受信任的)

  3. 改hosts

    客户端机器,Windows系统本地测试,改下hosts以访问域名

    C:\Windows\System32\drivers\etc\hosts

    添加如下内容

    127.0.0.1 www.xxx.com

  4. 启动web服务,Chrome浏览器访问https://www.xxx.com
    FireFox配置参照网上教程导入ca证书即可。

二、验证SSL证书

生成pem证书

通过ca.crt证书生成PEM证书
openssl x509 -in ca.crt -out mycert.pem -outform PEM

python2.7 mock
vim mock.py

import json
import requests

url='https://IP地址:8000/接口路径'

req_data = {参数列表}
requests.packages.urllib3.disable_warnings()
resp = requests.request('POST', url, data=json.dumps(req_data), verify='mycert.pem')
print(resp)

响应结果:
在这里插入图片描述经过多次尝试将requests中verify设置为True,传递cert为元组方式返回结果都是异常。所以为了避免这种现象才采取了verify方式。如有大神通过cert方式实现,请不吝赐教,在此感激不尽~

参考资料

感谢以上博主!

qq_16317031
关注
ssl证书 友好名称_什么是SSL证书CN(通用名称)和用法?
cunjiu9486的博客
10-06 1万+
ssl证书 友好名称Common Name or CN is generally used in SSL Certificates. CN is used to define the server name which will be used for secure SSL connection. Generally this SSL certificate used to secure conn...
什么是公用名Common Name
lz7955823的专栏
10-17 1万+
公用名Common Name 本文转自[记录无限:www.gluoo.cn]. 公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。   例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要填写“chinassl.net”,而不能填写 “www.ch
openssl证书添加多个IP
林三的专栏
11-27 1万+
前文http://blog.youkuaiyun.com/linsanhua/article/details/16878817 描述了基于 OpenSSL 的 CA 建立及证书签发过程。 这里描述怎么利用subjectAltName添加ip到openssl证书。 首先创建openssl.cnf, 内容如下. 其中organizationalUnitName_default是你的组织名,commonName
创建CA和申请证书
weixin_34290096的博客
09-01 1044
一、CA的作用 CA,Catificate Authority,它的作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成)加强服务端和客户端之间信息交互的安全性,以及证书运维相关服务。任何个体/组织都可以扮演 CA 的角色,只不过难以得到客户端的信任。双方通信,需要通过签证机构CA颁发证书才可以相互信任,安全的进行数据通信,除了收费的认证机构的证书,还可...
使用openssl模拟CA和CA证书的签发
GeorgeGuo
06-03 4165
当使用ssl/tls进行加密通信时,必须要有数字证书。若通信只限制在局域网内,可以不向第三方机构申请签发证书,可以通过openssl模拟CA(Certificate Authority),并通过该CA签发证书。下文讲述在Centos7.3上使用openssl工具签发证书的具体步骤。 1 生成模拟CA 1.1 修改配置文件/etc/pki/tls/openssl.cnf 打开opens...
吉大正元电子证书认证系统SRQ05v5.0技术白皮书.docx
10-08
吉大正元电子证书认证系统SRQ05v5.0技术白皮书 吉大正元电子证书认证系统SRQ05v5.0技术白皮书是关于SRQ05v5.0版本的技术白皮书,该系统是一个基于PKI(Public Key Infrastructure,公共密钥基础设施)的电子证书...
实现OPC UA服务器功能,OPC UA服务器支持匿名访问、用户认证和客户证书认证
最新发布
06-29
1. 实现OPC UA服务器功能,OPC UA服务器支持匿名访问、用户认证和客户证书认证。 2. 实现opc ua用户管理功能;管理OPC UA客户端通过用户认证访问服务端所需的用户名和密码。 3. 实现OPC UA访问证书管理功能;管理OPC...
CLA无证书认证系统介绍
01-18
目前无证书认证技术炒得比较火,其公钥可计算获得,代替证书绑定用户身份,特别适合物联网环境,
为windows远程桌面加上SSL证书认证整理.pdf
11-07
接下来,关于如何在Windows2003系统上安装并配置SSL证书认证,整个过程可以分为几个关键步骤: 1. 升级和安装服务包: 用户需要首先确保服务器操作系统为最新版本的Windows2003。在获取了最新版本后,接下来要安装...
GBT 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范1
08-03
1. **范围**:规范涵盖了证书认证系统的总体架构、功能要求、系统设计、数字证书证书撤销列表、密钥管理中心、密码算法、安全协议以及系统建设和运行管理等多个方面。它不仅关注技术层面,还涉及了管理和制度层面...
Nginx自有证书生成
qq_34399969的博客
08-19 597
#OPENSSL生成Nginx自有证书, ##1、创建配置文件—MyCompanyCA.cnf [ req ] distinguished_name = req_distinguished_name x509_extensions = root_ca [ req_distinguished_name ] # 以下内容可随意填写 countryName = CN (2 letter code) countryName_min = 2 countryName
SSL/TLS协议原理与证书签名多种生成方式实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 2206
本章目录:0x00 前言简述CA 认证原理PKI 公钥基础设施0x01 自签名SSL证书生成1.在线(脚本)生成2.OpenSSL 生成3.CFSSL 生成0x03 cfssl 使用实践0x00 前言简述简单快速了解HTTP、HTTPS、SSL、TLS概念:HTTP 是一个网络协议,是专门用来传输 Web 内容,大部分网站都是通过 HTTP 协议来传输 Web 页面、以及...
24、OpenSSL生成CA证书及终端用户证书
LetsStudy的博客
03-15 4557
1、准备ca.conf配置文件 内容如下 [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = CN stateOrProvinceName = Stat
Openssl编程获取证书common name
auvKone
05-20 5203
Talk is cheap, show me the code!#include <stdio.h> #include <stdlib.h> #include <assert.h> #include <openssl/bio.h> #include <openssl/x509v3.h>int main(int argc, char **argv) { char cn[256] = "";
自签名证书制作和使用方法
tanghan511的博客
12-07 5880
自签名证书安全提示: 浏览器加入自签名证书步骤 Firefox CA证书导入 通过openssl 制作自签名证书 Extension 信息配置 1) Myconf.cnf文件内容 [req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = CN stateOrPro...
HTTPS调试中自签名证书错误ERR_CERT_COMMON_NAME_INVALID的解决方法
泛在安防边缘智能视频分析
02-28 1万+
1、问题现象 使用自签名的证书后,chrome报错此服务器无法证实它就是 www.webrtc.cn 它的安全证书没有指定主题备用名称。这可能是因为某项配置有误或某个攻击者拦截了您的连接。 错误码是NET::ERR_CERT_COMMON_NAME_INVALID: 如下图所示: 2、问题原因 生成证书的时候没有加上备用名称字段,目前的浏览器校验证书都需要这个字段。 3、解决方法 生成证书的时候需要添加上备用名称(subjectAltName)扩展字段。 使用openssl添加subjectAltNam
细说 CA 和证书
热门推荐
skykingf的专栏
05-03 3万+
转自 https://linux.cn/article-7289-1.html CA,Catificate Authority,它的作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成)加强服务端和客户端之间信息交互的安全性,以及证书运维相关服务。任何个体/组织都可以扮演 CA 的角色,只不过难以得到客户端的信任,能够受浏览器默认信任的 CA 大厂商有很多
Linux OpenSSL 生成CA证书及终端用户证书
专注基础架构领域
08-21 2983
一、环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA根证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = re
SSL/TLS(3): CA证书解释
猪哥的专栏
03-28 2459
SSL/TLS(1):基本概念通俗解释 SSL/TLS (2):通俗解释SSL/TLS为什么安全 前言 在前面的文章中,我们分析了SSL/TLS的一些基本概念和为什么他们安全,尤其提到了公钥和私钥的概念,还有一个很重要的文件,就是CA证书,关于CA证书的官方解释,可以参考百科的解释,这里我们可以简单的认为,CA证书是一个网站的 二维码,这个二维码包括了服务器的一些信息,比如服务器所在的组织、支持的加密算法,还有更重要的公钥信息。 X.509 我们在使用mbedtls时,会发现有X.509的名称,在其他地方也
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值