在许多go语言开发场景中,特别是在内部系统、测试环境或对成本敏感的私有服务中,开发者可能希望建立安全的ssl/tls连接,但不愿依赖商业证书颁发机构(ca)。此时,构建一个私有的公钥基础设施(pki)并创建自定义根证书(或自签名证书)成为一个有效的解决方案。虽然自签名证书在公共互联网上无法提供普遍的身份信任,但在客户端预先配置信任该特定根证书的情况下,它能提供强大的加密和中间人攻击(mitm)防护。
自签名证书或自定义根CA与公共CA签发的证书在技术原理上并无本质区别,核心在于“信任链”。当浏览器或操作系统默认信任一系列公共CA时,这些CA签发的证书便被广泛接受。而当您创建自己的根证书时,您实际上是成为了您自己的CA。只要您的客户端被明确配置为信任您创建的这个根证书,那么由该根证书签发的任何服务器证书都将被客户端视为合法,从而建立安全的TLS连接。这种机制可以有效防止MITM攻击,因为攻击者无法使用其自己的未经信任的证书来冒充您的服务器。
构建私有PKI主要涉及以下几个步骤:生成根CA的私钥和证书,然后使用该根CA签署服务器的证书。我们将使用OpenSSL工具来完成这些操作。
首先,我们需要一个根CA的私钥,并用它来生成一个自签名的根证书。这个根证书将作为我们整个信任链的起点。
# 1. 生成根CA私钥 (ca.key),使用2048位RSA加密
openssl genrsa -out ca.key 2048
# 2. 使用私钥生成根CA证书 (ca.crt)。
# -x509 表示生成自签名证书。
# -new 表示生成新的证书请求。
# -nodes 表示私钥不加密。
# -sha256 指定哈希算法。
# -days 3650 设置证书有效期为10年。
# -subj 定义证书主题信息,CN (Common Name) 为此CA的名称。
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt \
-subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=MyCA/CN=MyCustomRootCA"接下来,为您的服务器生成一个私钥,并基于此私钥创建一个证书签名请求(CSR)。CSR包含了服务器的公钥和身份信息,等待CA的签名。
立即学习“go语言免费学习笔记(深入)”;
# 1. 生成服务器私钥 (server.key)
openssl genrsa -out server.key 2048
# 2. 生成服务器证书签名请求 (server.csr)。
# -subj 中的 CN (Common Name) 应与您的服务器域名或IP地址匹配。
# -addext "subjectAltName = ..." 添加主题备用名称,支持多个域名或IP。
openssl req -new -key server.key -out server.csr \
-subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/OU=MyServer/CN=localhost" \
-addext "subjectAltName = DNS:localhost,IP:127.0.0.1"最后,使用之前生成的根CA私钥和证书来签署服务器的CSR,从而生成服务器证书。
# 使用根CA签署服务器CSR,生成服务器证书 (server.crt)。
# -CA 指定CA证书。
# -CAkey 指定CA私钥。
# -CAcreateserial 会创建一个序列号文件(ca.srl),用于跟踪CA签发的证书。
# -days 365 设置服务器证书的有效期为1年。
# -extfile 用于确保 subjectAltName 扩展被正确包含在最终的服务器证书中。
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
-out server.crt -days 365 -sha256 \
-extfile <(printf "subjectAltName=DNS:localhost,IP:127.0.0.1")至此,您已拥有 ca.crt (根CA证书)、server.key (服务器私钥) 和 server.crt (服务器证书)。
有了证书文件,我们可以在Go应用程序中配置TLS连接。
服务器端需要加载其私钥和签发的证书。
package main
import (
"crypto/tls"
"fmt"
"log"
"net/http"
)
func main() {
// 1. 加载服务器证书和私钥
serverCert, err := tls.LoadX509KeyPair("server.crt", "server.key")
if err != nil {
log.Fatalf("加载服务器证书失败: %v", err)
}
// 2. 配置TLS参数
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{serverCert}, // 指定服务器证书
MinVersion: tls.VersionTLS12, // 建议设置最低TLS版本以增强安全性
// ClientAuth: tls.NoClientCert, // 如果不需要客户端证书验证
}
// 3. 创建HTTPS服务器
server := &http.Server{
Addr: ":8443", // 服务器监听地址和端口
TLSConfig: tlsConfig,
Handler: http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
fmt.Fprintf(w, "Hello from secure Go server!")
}),
}
log.Println("Go HTTPS服务器正在监听 :8443")
// 4. 启动HTTPS服务器。证书和密钥已在TLSConfig中指定,因此此处为空字符串。
err = server.ListenAndServeTLS("", "")
if err != nil {
log.Fatalf("HTTPS服务器启动失败: %v", err)
}
}客户端需要加载并信任之前创建的根CA证书。
package main
import (
"crypto/tls"
"crypto/x509"
"io/ioutil"
"log"
"net/http"
)
func main() {
// 1. 加载根CA证书
caCert, err := ioutil.ReadFile("ca.crt")
if err != nil {
log.Fatalf("加载根CA证书失败: %v", err)
}
caCertPool := x509.NewCertPool()
// 将CA证书添加到证书池中,客户端将信任此池中的证书
if !caCertPool.AppendCertsFromPEM(caCert) {
log.Fatalf("无法从PEM数据中解析CA证书")
}
// 2. 配置TLS客户端
tlsConfig := &tls.Config{
RootCAs: caCertPool, // 指定信任的根CA池
// ServerName: "localhost", // 强烈建议设置,用于验证服务器证书的主机名
// InsecureSkipVerify: true, // 绝对不要在生产环境中使用,它会禁用证书验证
}
// 3. 创建自定义HTTP客户端,使用配置的TLS传输
client := &http.Client{
Transport: &http.Transport{
TLSClientConfig: tlsConfig,
},
}
// 4. 发送HTTPS请求
resp, err := client.Get("https://localhost:8443")
if err != nil {
log.Fatalf("HTTPS请求失败: %v", err)
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
if err != nil {
log.Fatalf("读取响应失败: %v", err)
}
log.Printf("收到响应: %s", body)
}将上述 ca.crt, server.crt, server.key 文件放在与Go程序相同的目录下,先运行服务器程序,再运行客户端程序,即可看到客户端成功连接并接收到服务器响应。
以上就是Go语言中构建私有PKI以实现安全的SSL通信的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
972
