本文詳細(xì)介紹了如何利用python的`subprocess`模塊調(diào)用openssl命令行工具，以簡潔高效的方式生成自簽名ssl證書。通過將復(fù)雜的openssl命令封裝在python函數(shù)中，用戶可以輕松實(shí)現(xiàn)證書和私鑰的創(chuàng)建，適用于開發(fā)、測試或內(nèi)部系統(tǒng)等場景，避免了直接在python中重現(xiàn)所有openssl參數(shù)的復(fù)雜性。

在現(xiàn)代網(wǎng)絡(luò)應(yīng)用中，SSL/TLS證書是確保數(shù)據(jù)傳輸安全的關(guān)鍵組件。雖然生產(chǎn)環(huán)境通常需要由受信任的證書頒發(fā)機(jī)構(gòu)（CA）簽發(fā)的證書，但在開發(fā)、測試或內(nèi)部系統(tǒng)中，自簽名證書提供了一種便捷的解決方案。當(dāng)需要將復(fù)雜的OpenSSL命令行操作（如涉及CA簽發(fā)或特定擴(kuò)展）集成到Python腳本中時(shí)，直接使用Python的cryptography庫可能需要精細(xì)地配置每一個(gè)參數(shù)，而通過subprocess模塊調(diào)用OpenSSL命令行工具則能提供一種更為直接和靈活的方法。

使用subprocess模塊生成自簽名證書

Python的subprocess模塊允許我們創(chuàng)建新的進(jìn)程，連接到它們的輸入/輸出/錯(cuò)誤管道，并獲取它們的返回碼。這意味著我們可以像在終端中一樣執(zhí)行OpenSSL命令，并將其結(jié)果集成到Python程序中。

以下是一個(gè)使用subprocess模塊生成自簽名SSL證書和對應(yīng)私鑰的示例：

NameGPT名稱生成器

免費(fèi)AI公司名稱生成器，AI在線生成企業(yè)名稱，注冊公司名稱起名大全。

0

查看詳情

import subprocess
import os

def generate_self_signed_certificate(cert_path: str, key_path: str, days: int = 365):
    """
    使用OpenSSL命令行工具生成自簽名SSL證書和私鑰。

    Args:
        cert_path (str): 生成的證書文件的完整路徑（例如：'./certs/certificate.crt'）。
        key_path (str): 生成的私鑰文件的完整路徑（例如：'./certs/private_key.key'）。
        days (int): 證書的有效期（天數(shù)）。默認(rèn)為365天。
    """
    # 確保輸出目錄存在
    os.makedirs(os.path.dirname(cert_path), exist_ok=True)
    os.makedirs(os.path.dirname(key_path), exist_ok=True)

    # OpenSSL命令參數(shù)列表
    # -x509: 生成自簽名證書
    # -newkey rsa:4096: 生成一個(gè)新的RSA私鑰，位長4096
    # -keyout [key_path]: 指定私鑰的輸出路徑
    # -out [cert_path]: 指定證書的輸出路徑
    # -days [days]: 指定證書的有效期
    # -nodes: 不加密私鑰（通常用于自動化腳本，生產(chǎn)環(huán)境應(yīng)考慮加密）
    # -subj "/CN=localhost": 設(shè)置證書主題的通用名稱，可根據(jù)需要修改
    openssl_cmd = [
        'openssl', 'req', '-x509', '-newkey', 'rsa:4096',
        '-keyout', key_path,
        '-out', cert_path,
        '-days', str(days),
        '-nodes',  # 不對私鑰進(jìn)行加密，方便自動化，但安全性較低
        '-subj', '/CN=localhost/O=MyOrg/C=US' # 示例主題信息
    ]

    try:
        # 執(zhí)行OpenSSL命令
        # check=True: 如果命令返回非零退出碼，將拋出CalledProcessError異常
        subprocess.run(openssl_cmd, check=True, capture_output=True, text=True)
        print(f"證書和私鑰已成功生成：\n  證書文件: {cert_path}\n  私鑰文件: {key_path}")
    except FileNotFoundError:
        print("錯(cuò)誤：OpenSSL命令未找到。請確保OpenSSL已安裝并配置在系統(tǒng)的PATH中。")
    except subprocess.CalledProcessError as e:
        print(f"生成證書時(shí)發(fā)生錯(cuò)誤：{e}")
        print(f"標(biāo)準(zhǔn)輸出：\n{e.stdout}")
        print(f"標(biāo)準(zhǔn)錯(cuò)誤：\n{e.stderr}")
    except Exception as e:
        print(f"發(fā)生未知錯(cuò)誤：{e}")

if __name__ == "__main__":
    # 定義證書和私鑰的輸出路徑
    output_dir = "generated_certs"
    cert_filename = "server.crt"
    key_filename = "server.key"

    full_cert_path = os.path.join(output_dir, cert_filename)
    full_key_path = os.path.join(output_dir, key_filename)

    # 調(diào)用函數(shù)生成證書
    generate_self_signed_certificate(full_cert_path, full_key_path, days=730)

代碼解析

1. import subprocess 和 import os: 導(dǎo)入所需的模塊。subprocess用于執(zhí)行外部命令，os用于處理文件路徑和目錄創(chuàng)建。
2. generate_self_signed_certificate 函數(shù):
   • 接收cert_path（證書輸出路徑）、key_path（私鑰輸出路徑）和days（有效期）作為參數(shù)。
   • os.makedirs(os.path.dirname(cert_path), exist_ok=True): 確保證書和私鑰的輸出目錄存在，如果不存在則創(chuàng)建。
   • openssl_cmd 列表: 這是傳遞給subprocess.run的OpenSSL命令及其參數(shù)。
     • 'openssl': 調(diào)用OpenSSL可執(zhí)行文件。
     • 'req': 用于證書簽名請求（CSR）管理。
     • '-x509': 指示生成自簽名證書而不是CSR。
     • '-newkey rsa:4096': 生成一個(gè)新的RSA私鑰，位長為4096位。
     • '-keyout [key_path]': 將生成的私鑰寫入指定文件。
     • '-out [cert_path]': 將生成的證書寫入指定文件。
     • '-days [days]': 設(shè)置證書的有效期（例如365天）。
     • '-nodes': 不加密私鑰。在自動化腳本中這很方便，但請注意，未加密的私鑰安全性較低。在生產(chǎn)環(huán)境中，通常會選擇加密私鑰并妥善保管。
     • '-subj "/CN=localhost/O=MyOrg/C=US"': 設(shè)置證書的主題信息。/CN是通用名稱（Common Name），/O是組織（Organization），/C是國家（Country）。您可以根據(jù)實(shí)際需求修改這些值。
   • subprocess.run(openssl_cmd, check=True, capture_output=True, text=True):
     • check=True: 如果OpenSSL命令以非零狀態(tài)碼退出（表示錯(cuò)誤），subprocess.CalledProcessError將被拋出，便于錯(cuò)誤處理。
     • capture_output=True: 捕獲OpenSSL命令的標(biāo)準(zhǔn)輸出和標(biāo)準(zhǔn)錯(cuò)誤。
     • text=True: 將捕獲的輸出解碼為文本（字符串），而不是字節(jié)。
   • 錯(cuò)誤處理: 使用try-except塊捕獲可能發(fā)生的FileNotFoundError（如果OpenSSL未安裝或不在PATH中）和subprocess.CalledProcessError（如果OpenSSL命令執(zhí)行失?。?/li>

注意事項(xiàng)

1. OpenSSL安裝: 此方法要求您的系統(tǒng)上已安裝OpenSSL，并且其可執(zhí)行文件位于系統(tǒng)的PATH環(huán)境變量中，以便Python能夠找到并執(zhí)行它。
2. 安全性:
   • 自簽名證書不會被主流瀏覽器或操作系統(tǒng)默認(rèn)信任，因此在使用時(shí)會收到安全警告。它們主要用于開發(fā)、測試或內(nèi)部服務(wù)間的加密通信。
   • 示例中使用了-nodes參數(shù)來生成未加密的私鑰。在生產(chǎn)環(huán)境中，為了提高安全性，建議移除此參數(shù)，讓OpenSSL提示輸入私鑰密碼。然后，在Python代碼中加載私鑰時(shí)，您需要提供相應(yīng)的密碼。
3. 證書主題信息: 示例中的-subj參數(shù)提供了基本的證書主題信息。對于更復(fù)雜的證書需求，例如包含SAN（Subject Alternative Name）或其他擴(kuò)展，您可能需要創(chuàng)建一個(gè)OpenSSL配置文件（.cnf文件），并通過-config參數(shù)將其傳遞給OpenSSL命令。
4. 替代方案: 對于純Python環(huán)境，cryptography庫提供了更底層的API來生成證書和私鑰，無需依賴外部OpenSSL可執(zhí)行文件。然而，對于習(xí)慣OpenSSL命令行參數(shù)或需要復(fù)制特定OpenSSL行為的場景，subprocess方法通常更為直接。

總結(jié)

通過Python的subprocess模塊調(diào)用OpenSSL命令行工具，為生成自簽名SSL證書提供了一個(gè)強(qiáng)大且靈活的途徑。這種方法允許開發(fā)者利用OpenSSL的全部功能和豐富的命令行參數(shù)，同時(shí)將證書生成過程無縫集成到Python應(yīng)用程序中。雖然它要求OpenSSL在系統(tǒng)上可用，但其簡潔性和對復(fù)雜OpenSSL命令的直接支持，使其成為許多開發(fā)和自動化場景的理想選擇。

立即學(xué)習(xí)“Python免費(fèi)學(xué)習(xí)筆記（深入）”；

以上就是Python與OpenSSL：使用subprocess模塊創(chuàng)建自簽名SSL證書的詳細(xì)內(nèi)容，更多請關(guān)注php中文網(wǎng)其它相關(guān)文章！