了解Python中的cryptography.x509.extensions.ExtendedKeyUsage扩展

在Python的cryptography库中，可以使用cryptography.x509.extensions.ExtendedKeyUsage扩展来指定证书的扩展密钥用途。扩展密钥用途是一个标准的X.509证书扩展，用于指定证书可用于哪些目的。

下面是一个使用cryptography.x509.extensions.ExtendedKeyUsage扩展的例子：

from cryptography import x509
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import hashes
from cryptography.x509.oid import ExtendedKeyUsageOID
from datetime import datetime, timedelta

# 创建一个证书签发者的私钥和公钥
from cryptography.hazmat.primitives.asymmetric import rsa
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048,
    backend=default_backend()
)
public_key = private_key.public_key()

# 创建一个证书请求
from cryptography.x509 import NameOID
from cryptography.hazmat.primitives import serialization
from cryptography.x509 import CertificateSigningRequestBuilder

builder = CertificateSigningRequestBuilder().subject_name(
    x509.Name([
        x509.NameAttribute(NameOID.COUNTRY_NAME, u"US"),
        x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, u"New York"),
        x509.NameAttribute(NameOID.LOCALITY_NAME, u"New York City"),
        x509.NameAttribute(NameOID.ORGANIZATION_NAME, u"My Organization"),
        x509.NameAttribute(NameOID.COMMON_NAME, u"example.com"),
    ])
)

# 添加扩展密钥用途扩展
extended_key_usages = [
    x509.ExtendedKeyUsageOID.SERVER_AUTH,
    x509.ExtendedKeyUsageOID.CLIENT_AUTH
]
builder = builder.add_extension(
    x509.ExtendedKeyUsage(extended_key_usages),
    critical=False
)

csr = builder.sign(private_key, hashes.SHA256(), default_backend())

# 生成一个自签名的证书
from cryptography import x509
from cryptography.x509.oid import NameOID
from cryptography.hazmat.primitives import hashes

subject = issuer = x509.Name([
    x509.NameAttribute(NameOID.COUNTRY_NAME, u"US"),
    x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, u"New York"),
    x509.NameAttribute(NameOID.LOCALITY_NAME, u"New York City"),
    x509.NameAttribute(NameOID.ORGANIZATION_NAME, u"My Organization"),
    x509.NameAttribute(NameOID.COMMON_NAME, u"example.com"),
])

cert = x509.CertificateBuilder().subject_name(
    subject
).issuer_name(
    issuer
).public_key(
    public_key
).serial_number(
    x509.random_serial_number()
).not_valid_before(
    datetime.utcnow()
).not_valid_after(
    # 设置证书的有效期为10天
    datetime.utcnow() + timedelta(days=10)
).add_extension(
    # 添加扩展密钥用途扩展
    x509.ExtendedKeyUsage([ExtendedKeyUsageOID.SERVER_AUTH, ExtendedKeyUsageOID.CLIENT_AUTH]),
    critical=False,
).sign(private_key, hashes.SHA256(), default_backend())

# 将证书保存到文件中
with open("certificate.crt", "wb") as f:
    f.write(cert.public_bytes(serialization.Encoding.PEM))

在这个例子中，我们生成了一个自签名的证书并将其保存到文件中。我们使用扩展密钥用途扩展来指定证书可用于服务器认证和客户端认证。

首先，我们创建一个证书签发者的私钥和公钥。然后，我们创建一个证书请求，并在请求中添加扩展密钥用途扩展。我们使用builder.sign()方法对证书请求进行签名，使用签名密钥和哈希算法。

接下来，我们使用自签名证书的生成过程类似，除了我们使用add_extension()方法将扩展密钥用途扩展添加到证书中。

最后，我们将生成的证书保存到文件中。

这是使用cryptography.x509.extensions.ExtendedKeyUsage扩展来指定证书的扩展密钥用途的例子。这个扩展在实际应用中非常有用，因为它允许创建只适用于特定用途的证书，提高了安全性。