• golang学习笔记---HTTPS


    HTTPS证书

    正式发布的时候,是需要购买正规的证书的。测试程序时,如果没有,我们可以使用openssl来生成私人的证书。

    (1)首先我们先生成证书私钥

    openssl genrsa -out server.key 2048

    (2)根据私钥生成公钥

    openssl rsa -in server.key -out server.key.public

    (2)根据私钥生成证书

    openssl req -new -x509 -key server.key -outserver.crt -days 365
    注意以上命令是生成在当前文件夹下的


    Golang实现HTTPS程序
    func handler(w http.ResponseWriter, r *http.Request) {
        fmt.Fprintf(w,
            "Hi, This is an example of https service in golang!")
    }
    func main1() {
        http.HandleFunc("/", handler)
        //https监听,必须提供证书文件和对应的私钥文件。
        http.ListenAndServeTLS(":8081", "server.crt",
            "server.key", nil)
    }
    浏览器输入 https://127.0.0.1:8081进行测试即可。
    注意浏览器会提示此链接不安全,继续访问即可,因为这个证书使我们自己生成的,并不被浏览器所承认。上面两个文件的路径可以是绝对路径也可以相对,这里在同一文件夹下使用的

    访问自己的HTTPS服务端

    go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,因为我们的证书并不是知名CA签发的。所以我们要跳过验证,如下

    server.go

    func main() {
        //要管理代理、TLS配置、keep-alive、压缩和其他设置,创建一个Transport
        //Client和Transport类型都可以安全的被多个go程同时使用。出于效率考虑,应该一次建立、尽量重用。
        tr := &http.Transport{
            //InsecureSkipVerify用来控制客户端是否证书和服务器主机名。如果设置为true,
            //则不会校验证书以及证书中的主机名和服务器主机名是否一致。
            TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
        }
        client := &http.Client{Transport: tr}
        resp, err := client.Get("https://localhost:8081")
        if err != nil {
            fmt.Println("error:", err)
            return
        }
        defer resp.Body.Close()
        body, err := ioutil.ReadAll(resp.Body)
        fmt.Println(string(body))
    }
    对服务端证书进行校验

    多数时候,我们需要对服务端的证书进行校验,而不是像上面那样忽略这个校验。

    首先我们来建立我们自己的CA,需要生成一个CA私钥和一个CA的数字证书:
    (1)生成CA私钥

    openssl genrsa -out ca.key 2048

    (2)生成CA证书

    openssl req -x509 -new -nodes -key ca.key -subj "/CN=tonybai.com" -days 5000 -out ca.crt

    接下来,生成server端的私钥,生成数字证书请求,并用我们的ca私钥签发server的数字证书:
    (1)生成服务端私钥

    openssl genrsa -out server.key 2048

    (2)生成证书请求文件

    openssl req -new -key server.key -subj "/CN=localhost" -out server.csr

    (3)根据CA的私钥和上面的证书请求文件生成服务端证书

    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
    client.go

    //客户端对服务器校验
    func main() {
        //CertPool代表一个证书集合/证书池。
        //创建一个CertPool
        pool := x509.NewCertPool()
        caCertPath := "/Users/zt/GOProject/src/https/ca.crt"
        //调用ca.crt文件
        caCrt, err := ioutil.ReadFile(caCertPath)
        if err != nil {
            fmt.Println("ReadFile err:", err)
            return
        }
        //解析证书
        pool.AppendCertsFromPEM(caCrt)
        
        tr := &http.Transport{
            ////把从服务器传过来的非叶子证书,添加到中间证书的池中,使用设置的根证书和中间证书对叶子证书进行验证。
            TLSClientConfig: &tls.Config{RootCAs: pool},
        }
        client := &http.Client{Transport: tr}
        resp, err := client.Get("https://localhost:8081")
        if err != nil {
            fmt.Println("Get error:", err)
            return
        }
        defer resp.Body.Close()
        body, err := ioutil.ReadAll(resp.Body)
        fmt.Println(string(body))
    }
    • Key 是私用密钥openssl,通常是rsa算法
    • Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署,还可以设定一个密钥
    • crt是CA认证后的证书文,签署人用自己的key给你签署的凭证

    对客户端证书进行校验

    要对客户端数字证书进行校验,首先客户端需要先有自己的证书。
    我们以上面的例子为基础,生成客户端的私钥与证书。

    (1)生成client私钥

    openssl genrsa -out client.key 2048

    (2)生成client请求文件

    openssl req -new -key client.key -subj "/CN=tonybai_cn" -out client.csr

    (3)生成client证书

    openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 5000
    server.go

    type myhandler struct {
    }
    
    func (h *myhandler) ServeHTTP(w http.ResponseWriter,
        r *http.Request) {
        fmt.Fprintf(w,
            "Hi, This is an example of http service in golang!
    ")
    }
    func main() {
        pool := x509.NewCertPool()
        caCertPath := "ca.crt"
        caCrt, err := ioutil.ReadFile(caCertPath)
        if err != nil {
            fmt.Println("ReadFile err:", err)
            return
        }
        pool.AppendCertsFromPEM(caCrt)
        s := &http.Server{
            Addr:    ":8081",
            Handler: &myhandler{},
            TLSConfig: &tls.Config{
                ClientCAs:  pool,
                ClientAuth: tls.RequireAndVerifyClientCert,
            },
        }
        err = s.ListenAndServeTLS("server.crt", "server.key")
        if err != nil {
            fmt.Println("ListenAndServeTLS err:", err)
        }
    }

    client.go

    func main() {
        pool := x509.NewCertPool()
        caCertPath := "ca.crt"
        caCrt, err := ioutil.ReadFile(caCertPath)
        if err != nil {
            fmt.Println("ReadFile err:", err)
            return
        }
        pool.AppendCertsFromPEM(caCrt)
        cliCrt, err := tls.LoadX509KeyPair("client.crt", "client.key")
        if err != nil {
            fmt.Println("Loadx509keypair err:", err)
            return
        }
        tr := &http.Transport{
            TLSClientConfig: &tls.Config{
                RootCAs:      pool,
                Certificates: []tls.Certificate{cliCrt},
            },
        }
        client := &http.Client{Transport: tr}
        resp, err := client.Get("https://localhost:8081")
        if err != nil {
            fmt.Println("Get error:", err)
            return
        }
        defer resp.Body.Close()
        body, err := ioutil.ReadAll(resp.Body)
        fmt.Println(string(body))
    }




     
     
  • 相关阅读:
    windows下端口映射(端口转发)
    SQLServer 2008 复制同步(发布、订阅)的几个问题
    SqlServer:此数据库处于单用户模式,导致数据库无法删除的处理
    jQuery函数的等价原生函数【转载】
    JavaScript学习第三天
    持续集成工具hudson【转载】
    linux-unzip命令【转载】
    javascript学习第一天
    java.util.Properties
    Eclipse快捷键【转载】
  • 原文地址:https://www.cnblogs.com/saryli/p/13372480.html
Copyright © 2020-2023  润新知