如何配置Golang TLS证书开发环境_Golang TLS开发说明-Golang-PHP中文网

如何配置Golang TLS证书开发环境_Golang TLS开发说明

P粉602998670

发布： 2025-12-19 00:27:19

原创

163人浏览过

配置Golang TLS开发环境需生成自签名证书（CN=localhost）、服务端用ListenAndServeTLS加载server.crt/server.key，客户端须将server.crt加入RootCAs；常见错误是CN/SAN不匹配或未配置RootCAs。

如何配置golang tls证书开发环境_golang tls开发说明

要配置 Golang TLS 证书开发环境，核心是生成自签名证书（用于本地调试），并在 Go 程序中正确加载和使用它们。不需要公网 CA，但需确保私钥安全、证书匹配、且服务端/客户端配置一致。

生成自签名 TLS 证书和私钥

用 OpenSSL 一行命令即可生成适用于开发的 server.crt 和 server.key：

openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodes -subj "/CN=localhost"

登录后复制

说明：

-x509：生成自签名证书（非 CSR）
-subj "/CN=localhost"：关键！必须包含 localhost，否则 Go 客户端校验失败（默认启用 SNI 和域名验证）
-nodes：不加密私钥（开发方便；生产环境应加密并妥善管理）
也可加 -addext "subjectAltName = DNS:localhost,IP:127.0.0.1"（OpenSSL 1.1.1+）增强兼容性

在 Go 服务端启用 TLS

使用 http.ListenAndServeTLS，传入证书和私钥路径：

立即学习“go语言免费学习笔记（深入）”；

log.Fatal(http.ListenAndServeTLS(":8443", "server.crt", "server.key", nil))

登录后复制

注意：

端口建议用 8443（非 443），避免权限问题
若用 http.Server 结构体，调用 srv.ListenAndServeTLS("server.crt", "server.key")
证书文件需可读，路径为相对或绝对路径（推荐放项目根目录或 ./certs/ 下）

在 Go 客户端信任自签名证书

默认情况下，Go 客户端拒绝自签名证书。需手动将 server.crt 加入自定义 tls.Config 的 RootCAs：

多商户双网版电子商城CRMEB系统

基于ThinkPhp6+ swoole4+uniapp 开发的一套CRMEB新零售多商户商城系统。如果不会搭建请到查看搭建说明系统环境推荐使用宝塔配置环境centos PHP7.3 mysql5.6新增功能： 01·新增支持销售虚拟产品自动发货 02.支持销售链接与卡密可导入导出 03.自定义后台路径对后台进行保护 04.新增支持商家缴纳保证金功能 05·违法或侵权商品一键举报功能 06·仲

查看详情

cert, _ := ioutil.ReadFile("server.crt")
certPool := x509.NewCertPool()
certPool.AppendCertsFromPEM(cert)
<p>client := &http.Client{
Transport: &http.Transport{
TLSClientConfig: &tls.Config{RootCAs: certPool},
},
}
resp, _ := client.Get("<a href="https://www.php.cn/link/efa4e6f5c6359cc2eadc5d731716468e">https://www.php.cn/link/efa4e6f5c6359cc2eadc5d731716468e</a>")

登录后复制

常见错误：

忘记设置 RootCAs → “x509: certificate signed by unknown authority”
证书里 CN 不是 localhost 或没加 SAN → “x509: certificate is valid for xxx, not localhost”
用 InsecureSkipVerify: true 虽能绕过，但仅限极简测试，不推荐写进代码

可选：生成客户端证书（双向 TLS）

如需 mTLS（服务端也验证客户端身份），再生成一对 client 证书：

# 生成客户端私钥和 CSR
openssl genrsa -out client.key 4096
openssl req -new -key client.key -out client.csr -subj "/CN=client"
<h1>用服务端私钥签发客户端证书（开发可用同一 CA）</h1><p>openssl x509 -req -in client.csr -CA server.crt -CAkey server.key -CAcreateserial -out client.crt -days 365

登录后复制

服务端加载时需设置：

srv.TLSConfig = &tls.Config{
    ClientCAs:  certPool, // server.crt 加载后的 pool
    ClientAuth: tls.RequireAndVerifyClientCert,
}

登录后复制

客户端发起请求时带上 client.crt + client.key：

cert, _ := tls.LoadX509KeyPair("client.crt", "client.key")
tr := &http.Transport{TLSClientConfig: &tls.Config{Certificates: []tls.Certificate{cert}}}

登录后复制

基本上就这些。开发阶段证书生成和加载不复杂，但容易忽略 CN/SAN 和 RootCAs 配置，导致连接失败。保持证书路径清晰、内容匹配、验证逻辑明确，就能快速跑通 TLS 流程。

以上就是如何配置Golang TLS证书开发环境_Golang TLS开发说明的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

Golang指针在链表结构实现中的应用示例 Go语言中高效构建与管理树结构：节点添加实践 Golang多级指针在复杂数据结构中的应用 Golang中如何使用指针实现一个简单的链表数据结构 Linux安装Golang指南各发行版包管理方案