PCI认证 密钥注入过种中 两次握手使用的RSA证书生成脚本, Python 提取 rootkey.pem 中的 RSA 参数

于 2025-04-15 14:30:28 发布
阅读量175 收藏 1
点赞数 6
CC 4.0 BY-SA版权
文章标签: python https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhao0568/article/details/147249075

KLD预存储:
1、RSA 公私钥对A(PriKey A/ PukKey A)
2、证书cert A

KLA预存储:
1、RSA公私钥对B(PriKey B/ PubKey B )
2、KLD CA公钥(PubKey A )
3、Device SN

分析如下

1.从代码数组得到证书CertA.der 就是这个文件的bin数组。把CertA.der转成CertA.pem可以看到公钥等信息。

2.从RSA宏定义里,可以转成公钥pem和私钥pem。看到公钥数据与CertA.pem里的公钥一致。

3.KLA从CertA.der中提取公钥与存的公钥对比验证是否一致。

生成脚本

@echo off
setlocal enabledelayedexpansion
echo 说明:servercert.der即发送的证书cert A,  serverkey.pem 即RSA 公私钥对A

:: 设置 OpenSSL 可执行文件的路径(如果 OpenSSL 未添加到环境变量)
set OPENSSL=openssl

echo === 开始生成一套 RSA 证书工具 ===

echo 1. 生成 CA 的私钥(PKCS#8 格式)
%OPENSSL% genpkey -algorithm RSA -out rootkey.pem -pkeyopt rsa_keygen_bits:2048

echo 2. 生成 CA 的自签名证书 (rootcert.pem)
%OPENSSL% req -x509 -new -key rootkey.pem -out rootcert.pem -days 3650 -subj "/emailAddress=root@ftsafe.com/CN=root/OU=ft/O=ft/L=BeiJing/ST=BeiJing/C=CN"


echo 3. 生成 Server 的私钥(PKCS#8 格式)
%OPENSSL% genpkey -algorithm RSA -out serverkey.pem -pkeyopt rsa_keygen_bits:2048

echo 4. 生成 Server 的证书请求 (CSR)
%OPENSSL% req -new -key serverkey.pem -out server.csr -subj "/emailAddress=server@ftsafe.com/CN=server/OU=ft/O=ft/L=BeiJing/ST=BeiJing/C=CN"

echo 5. 使用 CA 签发 Server 证书
%OPENSSL% x509 -req -in server.csr -CA rootcert.pem -CAkey rootkey.pem -CAcreateserial -out servercert.pem -days 3650

echo 6. 转换 PEM 证书为 DER 格式
::%OPENSSL% x509 -in rootcert.pem -inform PEM -out rootcert.der -outform DER
%OPENSSL% x509 -in servercert.pem -inform PEM -out servercert.der -outform DER

echo 7. 提取证书的公钥
%OPENSSL% x509 -in servercert.pem -noout -pubkey > servercert_pubkey.pem

echo 8. 显示 CA 私钥的参数(含 P 和 Q)
%OPENSSL% rsa -in rootkey.pem -text

echo 9. 转换 DER 证书为 PEM 格式(验证用)
%OPENSSL% x509 -in servercert.der -inform DER -out servercert.pem -outform PEM
if %errorlevel% neq 0 (
    echo 证书转换失败!
    pause
    exit /b
)

echo 10. 验证 SERVER 证书是否由 CA 签发
%OPENSSL% verify -CAfile rootcert.pem servercert.pem
if %errorlevel% neq 0 (
    echo Server证书验证失败!
    pause
) else (
    echo Server证书验证成功!
)

echo 11. 使用 Python 提取 rootkey.pem 中的 RSA 参数
python extract_rsa_components.py

echo 所有操作完成!
endlocal
pause

extract_rsa_components.py

from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.backends import default_backend

with open("serverkey.pem", "rb") as key_file:
    private_key = serialization.load_pem_private_key(
        key_file.read(),
        password=None,  # 没有加密
        backend=default_backend()
    )

numbers = private_key.private_numbers()

# 辅助函数:将整数转为大写十六进制字符串
def to_hex(n):
    return hex(n)[2:].upper().zfill(256)  # 可调宽度,zfill补齐

print("========== RSA 私钥参数(十六进制) ==========")
print(f"P     (prime1)      = {to_hex(numbers.p)}")
print(f"Q     (prime2)      = {to_hex(numbers.q)}")
print(f"DP    (d mod p-1)   = {to_hex(numbers.dmp1)}")
print(f"DQ    (d mod q-1)   = {to_hex(numbers.dmq1)}")
print(f"QINV  (q^-1 mod p)  = {to_hex(numbers.iqmp)}")

# 输出宏定义
print("========== RSA 私钥参数(十六进制)输出宏定义 ==========")
print("#define RSA_P     \"" + to_hex(numbers.p) + "\"")
print("#define RSA_Q     \"" + to_hex(numbers.q) + "\"")
print("#define RSA_DP    \"" + to_hex(numbers.dmp1) + "\"")
print("#define RSA_DQ    \"" + to_hex(numbers.dmq1) + "\"")
print("#define RSA_QINV  \"" + to_hex(numbers.iqmp) + "\"")

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黄人软件

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值