Python与OpenSSL：使用subprocess模块创建自签名SSL证书

本文详细介绍了如何利用python的`subprocess`模块调用openssl命令行工具，以简洁高效的方式生成自签名ssl证书。通过将复杂的openssl命令封装在python函数中，用户可以轻松实现证书和私钥的创建，适用于开发、测试或内部系统等场景，避免了直接在python中重现所有openssl参数的复杂性。

在现代网络应用中，SSL/TLS证书是确保数据传输安全的关键组件。虽然生产环境通常需要由受信任的证书颁发机构（CA）签发的证书，但在开发、测试或内部系统中，自签名证书提供了一种便捷的解决方案。当需要将复杂的OpenSSL命令行操作（如涉及CA签发或特定扩展）集成到Python脚本中时，直接使用Python的cryptography库可能需要精细地配置每一个参数，而通过subprocess模块调用OpenSSL命令行工具则能提供一种更为直接和灵活的方法。

使用subprocess模块生成自签名证书

Python的subprocess模块允许我们创建新的进程，连接到它们的输入/输出/错误管道，并获取它们的返回码。这意味着我们可以像在终端中一样执行OpenSSL命令，并将其结果集成到Python程序中。

以下是一个使用subprocess模块生成自签名SSL证书和对应私钥的示例：

NameGPT名称生成器

免费AI公司名称生成器，AI在线生成企业名称，注册公司名称起名大全。

0

查看详情

import subprocess
import os

def generate_self_signed_certificate(cert_path: str, key_path: str, days: int = 365):
    """
    使用OpenSSL命令行工具生成自签名SSL证书和私钥。

    Args:
        cert_path (str): 生成的证书文件的完整路径（例如：'./certs/certificate.crt'）。
        key_path (str): 生成的私钥文件的完整路径（例如：'./certs/private_key.key'）。
        days (int): 证书的有效期（天数）。默认为365天。
    """
    # 确保输出目录存在
    os.makedirs(os.path.dirname(cert_path), exist_ok=True)
    os.makedirs(os.path.dirname(key_path), exist_ok=True)

    # OpenSSL命令参数列表
    # -x509: 生成自签名证书
    # -newkey rsa:4096: 生成一个新的RSA私钥，位长4096
    # -keyout [key_path]: 指定私钥的输出路径
    # -out [cert_path]: 指定证书的输出路径
    # -days [days]: 指定证书的有效期
    # -nodes: 不加密私钥（通常用于自动化脚本，生产环境应考虑加密）
    # -subj "/CN=localhost": 设置证书主题的通用名称，可根据需要修改
    openssl_cmd = [
        'openssl', 'req', '-x509', '-newkey', 'rsa:4096',
        '-keyout', key_path,
        '-out', cert_path,
        '-days', str(days),
        '-nodes',  # 不对私钥进行加密，方便自动化，但安全性较低
        '-subj', '/CN=localhost/O=MyOrg/C=US' # 示例主题信息
    ]

    try:
        # 执行OpenSSL命令
        # check=True: 如果命令返回非零退出码，将抛出CalledProcessError异常
        subprocess.run(openssl_cmd, check=True, capture_output=True, text=True)
        print(f"证书和私钥已成功生成：\n  证书文件: {cert_path}\n  私钥文件: {key_path}")
    except FileNotFoundError:
        print("错误：OpenSSL命令未找到。请确保OpenSSL已安装并配置在系统的PATH中。")
    except subprocess.CalledProcessError as e:
        print(f"生成证书时发生错误：{e}")
        print(f"标准输出：\n{e.stdout}")
        print(f"标准错误：\n{e.stderr}")
    except Exception as e:
        print(f"发生未知错误：{e}")

if __name__ == "__main__":
    # 定义证书和私钥的输出路径
    output_dir = "generated_certs"
    cert_filename = "server.crt"
    key_filename = "server.key"

    full_cert_path = os.path.join(output_dir, cert_filename)
    full_key_path = os.path.join(output_dir, key_filename)

    # 调用函数生成证书
    generate_self_signed_certificate(full_cert_path, full_key_path, days=730)

代码解析

1. import subprocess 和 import os: 导入所需的模块。subprocess用于执行外部命令，os用于处理文件路径和目录创建。
2. generate_self_signed_certificate 函数:
   • 接收cert_path（证书输出路径）、key_path（私钥输出路径）和days（有效期）作为参数。
   • os.makedirs(os.path.dirname(cert_path), exist_ok=True): 确保证书和私钥的输出目录存在，如果不存在则创建。
   • openssl_cmd 列表: 这是传递给subprocess.run的OpenSSL命令及其参数。
     • 'openssl': 调用OpenSSL可执行文件。
     • 'req': 用于证书签名请求（CSR）管理。
     • '-x509': 指示生成自签名证书而不是CSR。
     • '-newkey rsa:4096': 生成一个新的RSA私钥，位长为4096位。
     • '-keyout [key_path]': 将生成的私钥写入指定文件。
     • '-out [cert_path]': 将生成的证书写入指定文件。
     • '-days [days]': 设置证书的有效期（例如365天）。
     • '-nodes': 不加密私钥。在自动化脚本中这很方便，但请注意，未加密的私钥安全性较低。在生产环境中，通常会选择加密私钥并妥善保管。
     • '-subj "/CN=localhost/O=MyOrg/C=US"': 设置证书的主题信息。/CN是通用名称（Common Name），/O是组织（Organization），/C是国家（Country）。您可以根据实际需求修改这些值。
   • subprocess.run(openssl_cmd, check=True, capture_output=True, text=True):
     • check=True: 如果OpenSSL命令以非零状态码退出（表示错误），subprocess.CalledProcessError将被抛出，便于错误处理。
     • capture_output=True: 捕获OpenSSL命令的标准输出和标准错误。
     • text=True: 将捕获的输出解码为文本（字符串），而不是字节。
   • 错误处理: 使用try-except块捕获可能发生的FileNotFoundError（如果OpenSSL未安装或不在PATH中）和subprocess.CalledProcessError（如果OpenSSL命令执行失败）。

注意事项

1. OpenSSL安装: 此方法要求您的系统上已安装OpenSSL，并且其可执行文件位于系统的PATH环境变量中，以便Python能够找到并执行它。
2. 安全性:
   • 自签名证书不会被主流浏览器或操作系统默认信任，因此在使用时会收到安全警告。它们主要用于开发、测试或内部服务间的加密通信。
   • 示例中使用了-nodes参数来生成未加密的私钥。在生产环境中，为了提高安全性，建议移除此参数，让OpenSSL提示输入私钥密码。然后，在Python代码中加载私钥时，您需要提供相应的密码。
3. 证书主题信息: 示例中的-subj参数提供了基本的证书主题信息。对于更复杂的证书需求，例如包含SAN（Subject Alternative Name）或其他扩展，您可能需要创建一个OpenSSL配置文件（.cnf文件），并通过-config参数将其传递给OpenSSL命令。
4. 替代方案: 对于纯Python环境，cryptography库提供了更底层的API来生成证书和私钥，无需依赖外部OpenSSL可执行文件。然而，对于习惯OpenSSL命令行参数或需要复制特定OpenSSL行为的场景，subprocess方法通常更为直接。

总结

通过Python的subprocess模块调用OpenSSL命令行工具，为生成自签名SSL证书提供了一个强大且灵活的途径。这种方法允许开发者利用OpenSSL的全部功能和丰富的命令行参数，同时将证书生成过程无缝集成到Python应用程序中。虽然它要求OpenSSL在系统上可用，但其简洁性和对复杂OpenSSL命令的直接支持，使其成为许多开发和自动化场景的理想选择。

立即学习“Python免费学习笔记（深入）”；

以上就是Python与OpenSSL：使用subprocess模块创建自签名SSL证书的详细内容，更多请关注php中文网其它相关文章！