In [1]:
#生成 RSA 密钥对
from OpenSSL import crypto

# 生成密钥对
key = crypto.PKey()
key.generate_key(crypto.TYPE_RSA, 2048)

# 保存私钥
with open("private_key.pem", "wb") as f:
    f.write(crypto.dump_privatekey(crypto.FILETYPE_PEM, key))

# 保存公钥
with open("public_key.pem", "wb") as f:
    f.write(crypto.dump_publickey(crypto.FILETYPE_PEM, key))


In [2]:
#创建自签名证书
from OpenSSL import crypto
from datetime import datetime

# 创建证书对象
cert = crypto.X509()

# 设置证书的属性
cert.get_subject().C = "CN" # 国家
cert.get_subject().ST = "Beijing" # 省份
cert.get_subject().L = "Beijing" # 城市
cert.get_subject().O = "My Organization" # 组织
cert.get_subject().OU = "My Unit" # 组织单位
cert.get_subject().CN = "localhost" # 通用名称

# 设置证书的序列号和有效期
cert.set_serial_number(1000) # 序列号
cert.gmtime_adj_notBefore(0) # 有效期起始时间
cert.gmtime_adj_notAfter(365*24*60*60)  # 有效期结束时间 365天

# 设置公钥
cert.set_pubkey(key)

# 自签名
cert.sign(key, "sha256")

# 保存证书
with open("certificate.crt", "wb") as f:
    f.write(crypto.dump_certificate(crypto.FILETYPE_PEM, cert))


In [None]:
#加密和解密数据
"""pyOpenSSL 主要用于处理证书和密钥管理，直接进行数据加密和解密的功能有限。对于数据的加解密，我们使用 cryptography 库。"""
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import padding
from cryptography.hazmat.primitives import hashes

# 加载公钥
with open("public_key.pem", "rb") as f: #以二进制模式 (rb) 读取 public_key.pem 文件，它包含公钥
    public_key = serialization.load_pem_public_key(f.read()) #将 PEM 格式的公钥转换为 public_key 对象，以便后续加密使用。
    """PEM 是一种文本格式的密钥存储方式，通常以 -----BEGIN PUBLIC KEY----- 和 -----END PUBLIC KEY----- 包裹。
    示例 public_key.pem:
            -----BEGIN PUBLIC KEY-----
        MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
            -----END PUBLIC KEY-----
    """


# 加密数据
message = b"Hello, OpenSSL!" #要加密的原始消息（必须是字节类型 b""）
ciphertext = public_key.encrypt( #使用公钥加密 message，返回密文 ciphertext。
    message,
    padding.OAEP( #Optimal Asymmetric Encryption Padding，最优非对称加密填充）
        mgf=padding.MGF1(algorithm=hashes.SHA256()),# MGF1（Mask Generation Function 1） 是填充算法的一部分，通常用于增加安全性。
        algorithm=hashes.SHA256(), # 指定 SHA-256 作为哈希算法,用于填充的主哈希算法。
        label=None # RSA OAEP 允许使用标签（一般不使用，设为 None）。
    )
)
"""
为什么需要填充（Padding）？
RSA 直接加密数据是不安全的，攻击者可能通过数学分析恢复原文。填充（如 OAEP）可以增强安全性。
"""

# 加载私钥
with open("private_key.pem", "rb") as f: #以二进制模式 (rb) 读取 private_key.pem 文件，它包含私钥
    private_key = serialization.load_pem_private_key(f.read(), password=None) # 如果私钥加密了，需要提供密码。这里 password=None 表示该私钥未加密，可以直接加载。
    """
    示例 private_key.pem:
        -----BEGIN PRIVATE KEY-----
    MIIEvQIBADANBgkqhkiG9w0BA...
        -----END PRIVATE KEY-----

    """

# 解密数据
plaintext = private_key.decrypt( #使用私钥对 ciphertext 进行解密。
    ciphertext,
    padding.OAEP(
        mgf=padding.MGF1(algorithm=hashes.SHA256()), #必须使用与加密时相同的填充算法（OAEP + SHA-256），否则解密会失败。
        algorithm=hashes.SHA256(),
        label=None
    )
)

print(plaintext.decode()) #字节类型的 plaintext 转换为字符串，并打印出来。



Hello, OpenSSL!


In [5]:
# 使用标准库的 ssl 模块
import socket #提供基础网络通信能力，用于创建 TCP 连接。
import ssl #用于将普通的 socket 转换为 SSL/TLS 加密的套接字，确保数据传输的安全性。

# 创建TCP套接字
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) #指定 IPv4 地址家族（如果要用 IPv6，可改为 socket.AF_INET6）。,socket.SOCK_STREAM：指定 面向连接的 TCP 协议（若使用 UDP，需改为 socket.SOCK_DGRAM）。

# 包装为 SSL 套接字
ssl_sock = ssl.wrap_socket(sock, keyfile="private_key.pem", certfile="certificate.crt") #将 TCP 套接字 sock 包装为 SSL/TLS 套接字 ssl_sock。keyfile 和 certfile 分别指定私钥和证书文件。

# 连接服务器
ssl_sock.connect(("www.example.com", 443)) #连接远程服务器，指定主机名和端口号。
"""
TCP 三次握手 + TLS 握手：
TCP 连接：客户端和服务器建立 TCP 连接（三次握手）。
TLS 握手：客户端和服务器 协商加密算法、证书验证、密钥交换，最终建立 加密通道。
"""

# 发送请求
ssl_sock.sendall(b"GET / HTTP/1.1\r\nHost: www.example.com\r\n\r\n") #sendall()：发送完整的数据流，确保所有数据都成功传输。b"..."：数据必须是 字节流（bytes），所以加 b。


# 接收响应
response = ssl_sock.recv(4096) #接收服务器的响应，最多 4096 字节。 如果服务器返回的数据较大，需要多次调用 recv() 读取。
print(response.decode()) #将字节流解码为字符串（通常是 HTML）。

# 关闭连接
ssl_sock.close() #关闭 SSL/TLS 连接。


HTTP/1.1 200 OK
Content-Type: text/html
ETag: "84238dfc8092e5d9c0dac8ef93371a07:1736799080.121134"
Last-Modified: Mon, 13 Jan 2025 20:11:20 GMT
Cache-Control: max-age=2762
Date: Wed, 19 Mar 2025 04:31:10 GMT
Alt-Svc: h3=":443"; ma=93600,h3-29=":443"; ma=93600,quic=":443"; ma=93600; v="43"
Content-Length: 1256
Connection: keep-alive

<!doctype html>
<html>
<head>
    <title>Example Domain</title>

    <meta charset="utf-8" />
    <meta http-equiv="Content-type" content="text/html; charset=utf-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1" />
    <style type="text/css">
    body {
        background-color: #f0f0f2;
        margin: 0;
        padding: 0;
        font-family: -apple-system, system-ui, BlinkMacSystemFont, "Segoe UI", "Open Sans", "Helvetica Neue", Helvetica, Arial, sans-serif;
        
    }
    div {
        width: 600px;
        margin: 5em auto;
        padding: 2em;
        background-color: #fdfdff;
        border-radius: 0.5em;
        b