PKI/CA脚本工具集

最新推荐文章于 2025-08-05 23:58:52 发布
原创 最新推荐文章于 2025-08-05 23:58:52 发布 · 237 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

PKI证书相关能力

文章目录

前言

本文提供证书相关的功能实现,用于日常接触PKI/CA系统的同学进行一些自动化的工作

一、功能

证书OCSP验证

import sys

import requests
from cryptography import x509
from cryptography.hazmat.backends import default_backend
import os

from cryptography.hazmat.primitives import hashes, serialization
from cryptography.x509 import ocsp

# 初始化CA列表
issuing_dict = {}


# 提取证书中的OCSP URL
def extract_ocsp_url(cert):
    try:
        aia = cert.extensions.get_extension_for_oid(x509.ExtensionOID.AUTHORITY_INFORMATION_ACCESS)
        for access_description in aia.value:
            if access_description.access_method == x509.OID_OCSP:
                ocsp_url = access_description.access_location.value
                return ocsp_url
    except x509.ExtensionNotFound:
        print("No Authority Information Access extension found.")
        return None


# 创建OCSP请求
def create_ocsp_request(cert, issuer_cert):

    request = x509.ocsp.OCSPRequestBuilder().add_certificate(cert, issuer_cert, algorithm=hashes.SHA1()).build()
    return request


# 发送OCSP请求
def send_ocsp_request(ocsp_url, ocsp_request):

    ocsp_request_data = ocsp_request.public_bytes(serialization.Encoding.DER)
    response = requests.post(ocsp_url, data=ocsp_request_data, headers={"Content-Type": "application/ocsp-request"})
    return response

# 加载证书
def load_cert(cert_path):

    with open(cert_path, "rb") as f:
        return x509.load_pem_x509_certificate(f.read(), default_backend())

def main(cert_file):
    # 加载目标证书
    cert = x509.load_pem_x509_certificate(cert_file, default_backend())
    # 获取Issuer Common Name
    issuer = cert.issuer.get_attributes_for_oid(x509.NameOID.COMMON_NAME)[0].value
    print(f"Issuer CN: {issuer}")

    # 从映射中获取上级证书文件路径
    issuer_cert_file = issuing_dict.get(issuer)
    if issuer_cert_file is None:
        print(f"No issuer certificate found for: {issuer}")
        return
        # 加载上级证书
    try:
        issuer_cert = load_cert(issuer_cert_file)
    except Exception as e:
        print(f"Error loading issuer certificate: {e}")
        return
        # 提取OCSP URL
    ocsp_url = extract_ocsp_url(cert)
    if ocsp_url is None:
        return

    print(f"OCSP URL: {ocsp_url}")

    # 创建OCSP请求
    ocsp_request = create_ocsp_request(cert, issuer_cert)
    status = None
    # 发送OCSP请求
    response = send_ocsp_request(ocsp_url, ocsp_request)
    ocsp_response = x509.ocsp.load_der_ocsp_response(response.content)
    print("OCSP Response:")
    print(f"  Produced At: {ocsp_response.produced_at_utc}")
    print(f"  This Update: {ocsp_response.this_update_utc}")
    print(f"  Next Update: {ocsp_response.next_update_utc}")
    print(f"  Response Status: {ocsp_response.response_status}")
    # 打印单个响应信息
    for single_response in ocsp_response.responses:
        print(f"  Single Response:")
        print(f"    Cert ID (Serial Number): {single_response.serial_number}")
        print(f"    Cert ID (Issuer Key Hash): {single_response.issuer_key_hash.hex()}")
        print(f"    Cert ID (Issuer Name Hash): {single_response.issuer_name_hash.hex()}")
        status = single_response.certificate_status
        # 检查状态
        if isinstance(single_response.certificate_status, x509.ocsp.OCSPCertStatus):
            print("    Status: Good")
        elif isinstance(single_response.certificate_status, x509.ocsp.OCSPCertStatus):
            revoked = single_response.certificate_status
            print("    Status: Revoked")
            print(f"    Revocation Reason: {single_response.revocation_reason}")
            print(f"    Revocation Time: {single_response.revocation_time}")
        else:
            print("    Status: Unknown or Unsuccessful")

            # 打印扩展字段
    if ocsp_response.extensions:
        for ext in ocsp_response.extensions:
            print(f"  Extension: {ext.oid._name} (Critical: {ext.critical})")
            print(f"    Value: {ext.value}")
    return status

def get_files_dict(folder_path):
    files_dict = {}
    for root, dirs, files in os.walk(folder_path):
        for file in files:
            file_name, file_extension = os.path.splitext(file)
            file_path = os.path.join(root, file)
            files_dict[file_name] = file_path
    return files_dict

# ocsp校验
if __name__ == "__main__":
    cert = b''
    main(cert)

。。。有时间再写吧

PKI/CA与数字证书学习笔记
$好记性还是要多记录$
10-09 2817
概述 PKI:Public Key Infrastructure,公钥基础设施。 CA:Certificate Of Authority,认证中心。 数字证书:提供了一种发布公钥的简便途径; 一个数字证书包括:拥有者身份信息、公钥、CA数字签名、有效期等其他信息。 数字签名:用来确认信息发送者的身份,保证信息的完整性和抗否认性。 PKI(Public Key Infrastructure...
PKICA介绍
jklo113的博客
12-03 1781
一、PKI简介PKI(Public Key Infrastructure)公共密钥基础建设,又称为公开密钥基础架构、公钥基础建设、公钥基础设施或公钥基础机构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,简单来说PKI就...
PKICA 介绍
热门推荐
从菜鸟到菜菜鸟
03-06 6万+
        公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点。本文对PKI技术进行了全面的分析和总结,其中包括PKI组成、证书认证机构CAPKI应 用、应用编程接口和PKI标准等,并对CA的开发做了简要分析。本文对PKI,特别是CA的开发、应用...
CAPKI
weixin_42299862的博客
03-10 244
一、为什么向公司PKI申请的证书,浏览器会提示风险? 浏览器如何验证SSL证书? 1,在IE浏览器的菜单中点击“工具 /Internet选项”,选择“内容”标签,点击“证书”按钮,然后就可以看到IE浏览器已经信任了许多“中级证书颁发机构”和“受信任的根证书颁发机构。当我们在访问该网站时,浏览器就会自动下载该网站的SSL证书,并对证书的安全性进行检查。 2,由于证书是分等级的,网站拥有者可能从根证...
Linux自建CA并颁发证书的shell脚本
SunMy的博客
09-09 864
创建私有CA 创建CA所需要的文件 #生成证书索引数据库文件 touch /etc/pki/CA/index.txt #指定第一个颁发证书的序列号 echo 01 > /etc/pki/CA/serial 生成CA私钥 cd /etc/pki/CA/ (umask 066; openssl genrsa -out private/cakey.pem 2048) 生成CA自签名证书 openssl req -new -x509 -key /etc/pki/CA/private/cakey
CentOS 7 搭建CA认证中心
jysoso的专栏
12-18 2526
搭建CA认证中心 配置一个自己的CA认证中心 [root@centos ~]# vim /etc/pki/tls/openssl.cnf +172 #直接定位到172行 basicConstraints=CA:FALSE   # 把FALSE改成TRUE 把本机变成CA认证中心 配置认证中心,生成私钥与根证书 [root@centos ~]# /etc/pki/tls/misc/CA -newc...
Linux实现搭建私有CA服务器和证书申请颁发吊销
SunMy的博客
04-27 1724
CA证书 CA是证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。 CA是负责签发证书、认证证书、管理已颁发证书的机关。 PKI:Public Key Infrastructure 公共密钥加密体系 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509 定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 证书类型: 证书授权机构的证书
ca证书 linux 导入_Linux CA证书服务器搭建
weixin_39612677的博客
12-19 1540
Lab3.1准备环境:安装openssl工具yum install –yopenssl修改/etc/pki/tls/openssl.cnf将dir= ../../CA修改为/etc/pki/CA --指定工作的根目录(这里只要修改成/etc/pki/CA就可以了,也可以使用相对路径)certificate =$dir/newcerts修改为$dir/my-ca.crt --证书文件所在的位置(公...
建立私有CA实现证书颁发脚本
你是遥远的星河
02-07 331
建立私有CA实现证书颁发脚本 #!/bin/bash read -p "指定CA证书名称" NAME #安装expect命令 rpm -q expect &> /dev/null || yum -y install expect &> /dev/null #创建所需文件 if [ ! -d /etc/pki/CA ]; then mkdir -p /etc/pki/...
【IoT】加密与安全PKI 安全体系浅析
产品线负责人
12-24 4422
1、PKI 基础简介 公钥基础设施(Public Key Infrastructure,缩写 PKI)的基础与核心。 PKI 采用证书进行公钥管理,通过第三方的可信任机构(认证中心 CA),把用户的公钥和用户的其它标识信息捆绑在一起,当中包含 username 和电子邮件地址等信息。 PKI 既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统...
ssh k8s-master02 "cd /root && mkdir -p /etc/kubernetes/pki/etcd &&mkdir -p ~/.kube/"scp /etc/kubernetes/pki/ca.crt k8s-master02:/etc/kubernetes/pki/scp /etc/kubernetes/pki/ca.key k8s-master02:/etc/kubernetes/pki/scp /etc/kubernetes/pki/sa.key k8s-master02:/etc/kubernetes/pki/scp /etc/kubernetes/pki/sa.pub k8s-master02:/etc/kubernetes/pki/scp /etc/kubernetes/pki/front-proxy-ca.crt k8s-master02:/etc/kubernetes/pki/scp /etc/kubernetes/pki/front-proxy-ca.key k8s-master02:/etc/kubernetes/pki/scp /etc/kubernetes/pki/etcd/ca.crt k8s-master02:/etc/kubernetes/pki/etcd/scp /etc/kubernetes/pki/etcd/ca.key k8s-master02:/etc/kubernetes/pki/etcd/
03-12
sudo mv /tmp/ca.* /tmp/apiserver.* /etc/kubernetes/pki/; sudo chown root:root /etc/kubernetes/pki/*; sudo chmod 600 /etc/kubernetes/pki/* ' ``` 上述脚本不仅迁移了文件还调整其所有权以及保护级别以...
将此服务器配置成CA证书服务器(CA认证中心),负责Web服务器的证书发放工作; 使用脚本/etc/pki/tls/misc/CA来创建CA认证中心, 要求CA证书路径为/etc/pki/CA/cacert.pem;
05-26
sudo ln -s /etc/pki/CA/cacert.pem /etc/pki/tls/certs/ca-bundle.crt ``` 4. 确认CA证书已经安装成功: ``` openssl x509 -in /etc/pki/CA/cacert.pem -text -noout ``` 如果一切正常,您应该看到证书的详细...
配置centos7.9主机为CA服务器,使用4096位密钥和SHA256算法,为云主机颁发证书。CA私钥文件名为Ca_key.pem。私钥文件存放于/etc/pki/CA/private目录;CA根证书使用系统默认文件名:/etc/pki/CA/Ca_crt.pem,有效期10年,公用名dns.2025sdts.com。
04-01
还有,用户提到的私钥路径是/etc/pki/CA/private/Ca_key.pem,而默认的OpenSSL配置可能期望私钥在/etc/pki/CA/private目录下,可能需要确认目录是否存在,如果不存在需要创建,并设置合适的权限,比如700,因为私钥...
OpenXPKI软件栈:企业级PKI/信任中心解决方案
- Opensource-PKI和Opensource-CA:这两个标签强调了OpenXPKI作为开源PKICA(证书颁发机构)软件的地位,提供了企业级功能同时保持开放性。 - Perl:Perl是一种高级的、解释型、通用的、动态的编程语言,特别适合...
Fabarta个人专属智能体限时体验中:高效、安全的长文写作新搭档
Fabarta的博客
08-01 406
此外,报告还提到了数据孤岛、数据质量不高的问题,这些都阻碍了企业的跨域协同,也降低了企业的数据向知识转化的效率。在保证用户的资料、文件与数据完全私密不泄露的情况下,该产品完美融合了用户本地数据与互联网上可以触达的公开信息,快速应答用户的各类请求与问题。1)王律师基于个人构建好的本地知识库,输入需求:“分析本案胜诉关键点,撰写金融借款合同纠纷证据规则实务指南,引用3个类案,字数2000左右”;5)智能体生成专业化内容,王律师可实时调整个别段落,对不满意的段落进行改写、润色,插入类案对比等;
星图云开发者平台赋能商储油安全管控数字化转型
DevMate的博客
08-05 333
某商业储备油分公司是其集团公司国家原油商业储备的生产经营主体,肩负着15座跨省市油库的安全管理重任。在传统管理模式下,总部对分散库区的监管面临严峻挑战:由于地理位置分散,储罐液位波动、设备异常运行等关键状态无法实时获取,往往依赖人工逐级上报导致决策滞后;各库区独立建设的安防系统、设备监测平台数据格式互不兼容,标准不统一,形成数据协同壁垒;当突发泄漏或火灾险情时,应急资源调度依赖电话协调与纸质预案,响应效率难以满足快速处置要求。
Goby 漏洞安全通告| NestJS DevTools /inspector/graph/interact 命令执行漏洞(CVE-2025-54782)
m0_46699477的博客
08-05 170
其 /inspector/graph/interact 接口存在远程代码执行漏洞(CVE-2025-54782)。攻击者可以通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。该漏洞允许攻击者通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。
Web 安全之开放重定向攻击(Open Redirect )详解
路多辛的所思所想
08-03 938
摘要: 开放重定向漏洞存在于网站不安全处理用户可控URL时,攻击者通过构造恶意链接将用户从可信网站重定向至钓鱼或恶意网站。攻击流程包括诱骗用户点击、服务器执行重定向、最终实施窃取信息等攻击。防范措施包括避免直接使用用户输入URL、实施白名单验证、使用相对路径及重定向确认页面。该漏洞虽不直接破坏系统,但会显著提高钓鱼攻击成功率,需通过严格验证和定期安全审计加以防范。(149字)
Python包安全工程实践:构建安全可靠的Python生态系统
最新发布
Programming Talk
08-05 197
建立了安全开发流程与规范实现了依赖安全管理与漏洞扫描应用了现代加密与安全通信技术设计了认证授权系统集成了安全审计与监控实施了漏洞管理与应急响应应用了安全测试技术保障了供应链安全完整安全示例可在GitHub查看:[安全工程示例仓库]零信任架构应用运行时应用自保护(RASP)机密计算技术合规自动化(如GDPR、CCPA)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值