HTTPS证书
正式发布的时候,是需要购买正规的证书的。测试程序时,如果没有,我们可以使用openssl来生成私人的证书。
(1)首先我们先生成证书私钥
openssl genrsa -out server.key 2048
(2)根据私钥生成公钥
openssl rsa -in server.key -out server.key.public
(2)根据私钥生成证书
openssl req -new -x509 -key server.key -outserver.crt -days 365
注意以上命令是生成在当前文件夹下的
Golang实现HTTPS程序
func handler(w http.ResponseWriter, r *http.Request) { fmt.Fprintf(w, "Hi, This is an example of https service in golang!") } func main1() { http.HandleFunc("/", handler) //https监听,必须提供证书文件和对应的私钥文件。 http.ListenAndServeTLS(":8081", "server.crt", "server.key", nil) }
注意浏览器会提示此链接不安全,继续访问即可,因为这个证书使我们自己生成的,并不被浏览器所承认。上面两个文件的路径可以是绝对路径也可以相对,这里在同一文件夹下使用的
访问自己的HTTPS服务端
go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,因为我们的证书并不是知名CA签发的。所以我们要跳过验证,如下
server.go
func main() { //要管理代理、TLS配置、keep-alive、压缩和其他设置,创建一个Transport //Client和Transport类型都可以安全的被多个go程同时使用。出于效率考虑,应该一次建立、尽量重用。 tr := &http.Transport{ //InsecureSkipVerify用来控制客户端是否证书和服务器主机名。如果设置为true, //则不会校验证书以及证书中的主机名和服务器主机名是否一致。 TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, } client := &http.Client{Transport: tr} resp, err := client.Get("https://localhost:8081") if err != nil { fmt.Println("error:", err) return } defer resp.Body.Close() body, err := ioutil.ReadAll(resp.Body) fmt.Println(string(body)) }
对服务端证书进行校验
多数时候,我们需要对服务端的证书进行校验,而不是像上面那样忽略这个校验。
首先我们来建立我们自己的CA,需要生成一个CA私钥和一个CA的数字证书:
(1)生成CA私钥
openssl genrsa -out ca.key 2048
(2)生成CA证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=tonybai.com" -days 5000 -out ca.crt
接下来,生成server端的私钥,生成数字证书请求,并用我们的ca私钥签发server的数字证书:
(1)生成服务端私钥
openssl genrsa -out server.key 2048
(2)生成证书请求文件
openssl req -new -key server.key -subj "/CN=localhost" -out server.csr
(3)根据CA的私钥和上面的证书请求文件生成服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
client.go
//客户端对服务器校验 func main() { //CertPool代表一个证书集合/证书池。 //创建一个CertPool pool := x509.NewCertPool() caCertPath := "/Users/zt/GOProject/src/https/ca.crt" //调用ca.crt文件 caCrt, err := ioutil.ReadFile(caCertPath) if err != nil { fmt.Println("ReadFile err:", err) return } //解析证书 pool.AppendCertsFromPEM(caCrt) tr := &http.Transport{ ////把从服务器传过来的非叶子证书,添加到中间证书的池中,使用设置的根证书和中间证书对叶子证书进行验证。 TLSClientConfig: &tls.Config{RootCAs: pool}, } client := &http.Client{Transport: tr} resp, err := client.Get("https://localhost:8081") if err != nil { fmt.Println("Get error:", err) return } defer resp.Body.Close() body, err := ioutil.ReadAll(resp.Body) fmt.Println(string(body)) }
• Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署,还可以设定一个密钥
• crt是CA认证后的证书文,签署人用自己的key给你签署的凭证
对客户端证书进行校验
要对客户端数字证书进行校验,首先客户端需要先有自己的证书。
我们以上面的例子为基础,生成客户端的私钥与证书。
(1)生成client私钥
openssl genrsa -out client.key 2048
(2)生成client请求文件
openssl req -new -key client.key -subj "/CN=tonybai_cn" -out client.csr
(3)生成client证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 5000
server.go
type myhandler struct { } func (h *myhandler) ServeHTTP(w http.ResponseWriter, r *http.Request) { fmt.Fprintf(w, "Hi, This is an example of http service in golang! ") } func main() { pool := x509.NewCertPool() caCertPath := "ca.crt" caCrt, err := ioutil.ReadFile(caCertPath) if err != nil { fmt.Println("ReadFile err:", err) return } pool.AppendCertsFromPEM(caCrt) s := &http.Server{ Addr: ":8081", Handler: &myhandler{}, TLSConfig: &tls.Config{ ClientCAs: pool, ClientAuth: tls.RequireAndVerifyClientCert, }, } err = s.ListenAndServeTLS("server.crt", "server.key") if err != nil { fmt.Println("ListenAndServeTLS err:", err) } }
client.go
func main() { pool := x509.NewCertPool() caCertPath := "ca.crt" caCrt, err := ioutil.ReadFile(caCertPath) if err != nil { fmt.Println("ReadFile err:", err) return } pool.AppendCertsFromPEM(caCrt) cliCrt, err := tls.LoadX509KeyPair("client.crt", "client.key") if err != nil { fmt.Println("Loadx509keypair err:", err) return } tr := &http.Transport{ TLSClientConfig: &tls.Config{ RootCAs: pool, Certificates: []tls.Certificate{cliCrt}, }, } client := &http.Client{Transport: tr} resp, err := client.Get("https://localhost:8081") if err != nil { fmt.Println("Get error:", err) return } defer resp.Body.Close() body, err := ioutil.ReadAll(resp.Body) fmt.Println(string(body)) }