python中如何用openssl

在Python中使用OpenSSL，首先需要安装相关库、然后使用Python的cryptography库或者PyOpenSSL库来进行OpenSSL的操作、这两个库分别提供了不同的功能和接口来支持OpenSSL的特性。在这篇文章中，我们将详细介绍如何在Python中使用OpenSSL，涵盖如何安装库、使用基本的加密和解密功能，以及处理证书和密钥。

一、安装OpenSSL库

在使用OpenSSL库之前，首先需要确保已经安装了OpenSSL库和Python的相关库。OpenSSL是一个开放源代码的软件库包，应用于安全通信和数据加密。以下是安装相关库的步骤：

安装OpenSSL

在大多数Linux系统上，OpenSSL通常已经预安装。如果没有，可以通过以下命令进行安装：

sudo apt-get update sudo apt-get install openssl

在MacOS上，可以使用Homebrew进行安装：

brew install openssl

安装Python库

在Python中使用OpenSSL的常用库是cryptography和PyOpenSSL。可以使用pip命令安装这些库：

pip install cryptography pip install pyOpenSSL

这些库为Python提供了OpenSSL的接口，使得在Python中可以使用OpenSSL的功能。

二、使用cryptography库

cryptography库是一个强大的加密库，提供了多种加密算法和工具，可以处理密钥和证书。下面是如何使用cryptography库进行一些基本操作。

生成密钥对

生成RSA密钥对是加密操作的基础，可以用于加密、解密、签名和验证签名等操作。以下是生成RSA密钥对的代码示例：

from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives import serialization
生成RSA密钥对
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048
)
序列化私钥
pem_private_key = private_key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.TraditionalOpenSSL,
    encryption_algorithm=serialization.NoEncryption()
)
获取公钥
public_key = private_key.public_key()
序列化公钥
pem_public_key = public_key.public_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PublicFormat.SubjectPublicKeyInfo
)
print(pem_private_key.decode('utf-8'))
print(pem_public_key.decode('utf-8'))

加密和解密

使用生成的密钥对进行加密和解密操作。以下是使用公钥加密和使用私钥解密的示例：

from cryptography.hazmat.primitives.asymmetric import padding
from cryptography.hazmat.primitives import hashes
明文数据
message = b"Hello, OpenSSL with Python!"
使用公钥加密
ciphertext = public_key.encrypt(
    message,
    padding.OAEP(
        mgf=padding.MGF1(algorithm=hashes.SHA256()),
        algorithm=hashes.SHA256(),
        label=None
    )
)
使用私钥解密
plaintext = private_key.decrypt(
    ciphertext,
    padding.OAEP(
        mgf=padding.MGF1(algorithm=hashes.SHA256()),
        algorithm=hashes.SHA256(),
        label=None
    )
)
print(plaintext.decode('utf-8'))

签名和验证

数字签名用于验证数据的完整性和真实性。以下是使用私钥进行签名和使用公钥进行验证的示例：

from cryptography.hazmat.primitives import hashes
签名数据
signature = private_key.sign(
    message,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    hashes.SHA256()
)
验证签名
try:
    public_key.verify(
        signature,
        message,
        padding.PSS(
            mgf=padding.MGF1(hashes.SHA256()),
            salt_length=padding.PSS.MAX_LENGTH
        ),
        hashes.SHA256()
    )
    print("签名验证成功")
except Exception as e:
    print("签名验证失败", str(e))

三、使用PyOpenSSL库

PyOpenSSL是OpenSSL的Python接口，提供了更底层的OpenSSL功能。以下是如何使用PyOpenSSL进行一些基本操作。

生成证书请求

证书请求用于申请数字证书。以下是生成证书请求的代码示例：

from OpenSSL import crypto
创建密钥对
key = crypto.PKey()
key.generate_key(crypto.TYPE_RSA, 2048)
创建证书请求
req = crypto.X509Req()
req.get_subject().CN = 'example.com'
req.set_pubkey(key)
req.sign(key, 'sha256')
打印证书请求
print(crypto.dump_certificate_request(crypto.FILETYPE_PEM, req).decode('utf-8'))

生成自签名证书

自签名证书通常用于测试目的。以下是生成自签名证书的示例：

# 创建自签名证书
cert = crypto.X509()
cert.set_serial_number(1000)
cert.gmtime_adj_notBefore(0)
cert.gmtime_adj_notAfter(10 * 365 * 24 * 60 * 60)  # 10年有效期
cert.set_issuer(req.get_subject())
cert.set_subject(req.get_subject())
cert.set_pubkey(req.get_pubkey())
cert.sign(key, 'sha256')
打印自签名证书
print(crypto.dump_certificate(crypto.FILETYPE_PEM, cert).decode('utf-8'))

加载和解析证书

PyOpenSSL可以用于加载和解析已有的证书文件。以下是加载和解析证书的示例：

# 加载证书
with open('certificate.pem', 'rb') as f:
    cert_data = f.read()
cert = crypto.load_certificate(crypto.FILETYPE_PEM, cert_data)
解析证书
subject = cert.get_subject()
issuer = cert.get_issuer()
print("Subject:", subject.CN)
print("Issuer:", issuer.CN)
print("Not Before:", cert.get_notBefore())
print("Not After:", cert.get_notAfter())