问题描述
我正在研究一个Python脚本,在该脚本中,我需要确定预证书和叶子证书是否匹配。
为此,在删除SCT(1.3.6.1.4.1.11129.2.4.2)和Precert Poison(1.3.6.1.4.1.11129.2.4.3)之后,我需要比较precert和Leaf cert的TBS证书。扩展程序。
使用python加密模块,很容易获得TBS证书:
from cryptography import x509
from cryptography.hazmat.backends import default_backend
cert = x509.load_pem_x509_certificate(cert_data_pem,default_backend())
print(cert.tbs_certificate_bytes)
但是,我仍然无法弄清楚如何删除这些扩展名。看起来asn1crypto可以做到,但似乎可用的文档很少。
删除这些扩展名最新颖的方法是什么?我很高兴能依靠openssl来解决问题,因为我已经在脚本中使用了它。
解决方法
pyasn1 library才是最终可行的方法。此代码段对TBS证书进行解码,并删除两个扩展名,然后对其进行重新编码:
from pyasn1.codec.der.decoder import decode as asn1_decode
from pyasn1.codec.der.encoder import encode as asn1_encode
from pyasn1_modules import rfc5280
from cryptography import x509
from cryptography.hazmat.backends import default_backend
cert = asn1_decode(x509.load_pem_x509_certificate(cert_data_pem,default_backend()).tbs_certificate_bytes,asn1Spec=rfc5280.TBSCertificate())[0]
newExts = [ext for ext in cert["extensions"] if str(ext["extnID"]) not in ("1.3.6.1.4.1.11129.2.4.2","1.3.6.1.4.1.11129.2.4.3")]
cert["extensions"].clear()
cert["extensions"].extend(newExts)
print(asn1_encode(cert))