python建立可信链

建立可信链是一项复杂的任务，需要多个步骤和技术。在Python中，可以使用以下库和工具来建立可信链：

1. OpenSSL：OpenSSL是一个开源的加密库，可以用来生成数字证书、证书吊销列表（CRL）和证书签名请求（CSR）。Python中可以使用PyOpenSSL库来调用OpenSSL。

2. pyca/cryptography：也是一个加密库，提供了生成和验证数字证书的API。

3. pyasn1：用于解析和编码ASN.1格式的数据结构，包括X.509证书。

4. certifi：一个Python包，提供了一组根证书，可用于验证数字证书的信任链。

下面是一个简单的Python代码示例，用于生成自签名数字证书和私钥：

from cryptography import x509
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.x509.oid import NameOID
from datetime import datetime, timedelta

# 生成RSA私钥
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048
)

# 生成证书请求
subject = issuer = x509.Name([
    x509.NameAttribute(NameOID.COUNTRY_NAME, u"US"),
    x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, u"CA"),
    x509.NameAttribute(NameOID.LOCALITY_NAME, u"San Francisco"),
    x509.NameAttribute(NameOID.ORGANIZATION_NAME, u"My Company"),
    x509.NameAttribute(NameOID.COMMON_NAME, u"example.com"),
])
builder = x509.CertificateSigningRequestBuilder().subject_name(
    subject
).add_extension(
    x509.BasicConstraints(ca=False, path_length=None), critical=True,
).add_extension(
    x509.SubjectAlternativeName([x509.DNSName(u"example.com")]), critical=False,
)
csr = builder.sign(private_key, hashes.SHA256())

# 生成自签名证书
issuer = subject
not_valid_before = datetime.utcnow()
not_valid_after = not_valid_before + timedelta(days=365)
builder = x509.CertificateBuilder().subject_name(
    subject
).issuer_name(
    issuer
).public_key(
    csr.public_key()
).serial_number(
    x509.random_serial_number()
).not_valid_before(
    not_valid_before
).not_valid_after(
    not_valid_after
).add_extension(
    x509.SubjectAlternativeName([x509.DNSName(u"example.com")]), critical=False,
).add_extension(
    x509.BasicConstraints(ca=True, path_length=None), critical=True,
).add_extension(
    x509.KeyUsage(
        digital_signature=True, key_encipherment=True, content_commitment=False,
        data_encipherment=False, key_agreement=False, key_cert_sign=True,
        crl_sign=True, encipher_only=None, decipher_only=None
    ), critical=True,
).add_extension(
    x509.ExtendedKeyUsage(
        [x509.ExtendedKeyUsageOID.SERVER_AUTH, x509.ExtendedKeyUsageOID.CLIENT_AUTH]
    ), critical=False,
)
certificate = builder.sign(private_key, hashes.SHA256())

# 输出证书和私钥
print(certificate.public_bytes(serialization.Encoding.PEM))
print(private_key.private_bytes(
    serialization.Encoding.PEM,
    serialization.PrivateFormat.PKCS8,
    serialization.NoEncryption()
))

这个示例生成了一个自签名数字证书和RSA私钥，并使用PEM格式打印输出。在实际应用中，需要将数字证书安装到服务器上，并将私钥存储在安全的位置。可以使用OpenSSL或其他工具来验证证书的信任链