golang https

最新推荐文章于 2024-01-17 14:16:19 发布
最新推荐文章于 2024-01-17 14:16:19 发布
阅读量850 收藏 2
点赞数
分类专栏: go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/John_lidong/article/details/97258654
版权

一、背景知识

  • 密码学的一些基本知识

  大致上分为两类,基于key的加密算法与不基于key的加密算法。现在的算法基本都是基于key的,key就以一串随机数数,更换了key之后,算法还可以继续使用。

基于key的加密算法又分为两类,对称加密和不对称加密,比如DES,AES那种的,通信双方一方用key加密之后,另一方用相同的key进行反向的运算就可以解密。

不对称加密比较著名的就是RSA,加密的时候有一个公钥和一个私钥,公钥是可以交给对方的,a给b发送信息,a用自己的私钥加密,b用a的公钥解密,反之,b给a发送信息,b用自己的私钥加密。

  在通信之前,需要经过一些握手的过程,双方交换公钥,这个就是key exchange的过程,https最开始的阶段就包含了这个key exchange的过程。

  • 数字证书与CA

  数字证书相当于是服务器的一个“身份证”,用于唯一标识一个服务器。一般而言,数字证书从受信的权威证书授权机构 (Certification Authority,证书授权机构)买来的(免费的很少),浏览器里面一般就内置好了一些权威的CA,在使用https的时候,只要是这些CA签发的证书,浏览器都是可以认证的,要是在与服务器通信的时候,收到一个没有权威CA认证的证书,就会报出提醒不受信任证书的错误,就像登录12306一样,但是也可以选择接受。

  通常是自己签发一个ca根证书,之后这个根证书签发一个server.crt,以及server.key给服务端,server.key是服务端的私钥,server.crt包含了服务端的公钥还有服务端的一些身份信息。在客户端和服务端通信的时候(特别是使用代码编写的客户端访问的时候),要指定ca根证书

 三、HPPTS原理

  HTTPS是在HTTP下加入SSL(Secure Sockets Layer 安全套接层)层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。

  SSL,及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

  HTTPS由两部分组成:HTTP+SSL/TLS,也就是在HTTP上又加了一层处理加密信息的模块。工作原理图如下:

 详细介绍(引用 https://www.cnblogs.com/zhangshitong/p/6478721.html)

 

三、安装 OpenSSL

  openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/,其中有3个主要的用途:1、密码算法库(建立 RSA、DH、DSA key 参数,计算消息摘要,使用各种 Cipher加密/解密) 2、密钥和证书封装管理功能(建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表));3、SSL通信API接口(SSL/TLS 客户端以及服务器的测试,处理S/MIME 或者加密邮件)。

  • Windows 安装OpenSSL
     编译好的OpenSSL下载地址: http://slproweb.com/products/Win32OpenSSL.html
    • 下载后进行安装下一步下一步就可以了
    • 把安装目录添加到path里;我默认安装到C盘 所以把C:\OpenSSL-Win64\bin 添加到path里;注意要带上bin目录。
  • CentOS安装(引用 https://www.cnblogs.com/loleina/p/8418111.html)

四、HTTPS 实例

 1、服务端私钥与证书

  • 生成证书
openssl genrsa -out ca.key 2048

#这里可以使用 -subj 不用进行交互 当然还可以添加更多的信息
openssl req -x509 -new -nodes -key ca.key -subj "/CN=ld.com" -days 5000 -out ca.crt
  • server 代码
 1 package main
 2 
 3 import (
 4     "fmt"
 5     "net/http"
 6 )
 7 
 8 func main() {
 9 
10     http.HandleFunc("/test", handler)
11     // http.ListenAndServe(":9898", nil)
13     http.ListenAndServeTLS(":9898", "cert/ca.crt", "cert/ca.key", nil)
14 }
15 
16 func handler(w http.ResponseWriter, r *http.Request) {
17     fmt.Fprintf(w,"测试!")
18 }
  • client 代码 

       Transport是一个对RoundTripper(一个RoundTripper代表一个http事务,给一个请求返回一个响应)的实现,它支持HTTP、HTTPS和HTTP代理。

     有关Transport的详解可以阅读Go&Transport,其中TLSClientConfigTLS字段是TLS的配置信息,如果为nil,则采用默认配置。

 1 package main
 2 
 3 import (
 4     "crypto/tls"
 5     "io/ioutil"
 6     "log"
 7     "net/http"
 8 )
 9 
10 func main() {
11     var (
12         resp   *http.Response
13         err    error
14         body   []byte
15         tr     *http.Transport
16         client *http.Client
17     )
18    // 配置tls参数
19     tr = &http.Transport{
20         TLSClientConfig: &tls.Config{
21             InsecureSkipVerify: true,
22         },
23     }
24 
25     client = &http.Client{Transport: tr}
26    // 请求接口
27     resp, err = client.Get("https://127.0.0.1:9898/test")
28 
29     if err != nil {
30         log.Fatalln("接口请求失败", err)
31     }
32     
33     defer resp.Body.Close()
34    // 读取body数据
35     body, err = ioutil.ReadAll(resp.Body)
36 
37     log.Println("请求结果", string(body))
39 }

 2、对服务端的证书进行校验

  • 生成证书
openssl genrsa -out ca.key 2048

#这里可以使用 -subj 不用进行交互 当然还可以添加更多的信息
openssl req -x509 -new -nodes -key ca.key -subj "/CN=ld.com" -days 5000 -out ca.crt

openssl genrsa -out server.key 2048

#这里的/cn可以是必须添加的 是服务端的域名 或者是etc/hosts中的ip别名
openssl req -new -key server.key -subj "/CN=server" -out server.csr

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000

#查询证书的情况
openssl x509 -in ./server.crt -noout -text

 

  • server 代码
 1 package main
 2 
 3 import (
 4     "fmt"
 5     "net/http"
 6 )
 7 
 8 func main() {
 9 
10     http.HandleFunc("/test", handler)
11     // http.ListenAndServe(":9898", nil)
12 
13     http.ListenAndServeTLS(":9898", "cert/server.crt", "cert/server.key", nil)
14 }
15 
16 func handler(w http.ResponseWriter, r *http.Request) {
17     fmt.Fprintf(w,"测试")
18 }

 

  • client 代码   

 

 1 package main
 2 
 3 import (
 4     "crypto/tls"
 5     "crypto/x509"
 6     "io/ioutil"
 7     "log"
 8     "net/http"
 9 )
10 
11 func main() {
12     var (
13         resp   *http.Response
14         err    error
15         body   []byte
16         tr     *http.Transport
17         client *http.Client
18         pool   *x509.CertPool
19         crt    []byte
20     )
21     pool = x509.NewCertPool()
22     // 读取证书
23     crt, err = ioutil.ReadFile("cert/ca.crt")
24     if err != nil {
25         log.Fatalln("读取证书错误", err)
26     }
27     pool.AppendCertsFromPEM(crt)
28 
29     tr = &http.Transport{
30         TLSClientConfig: &tls.Config{
31             // InsecureSkipVerify: true,
32             RootCAs: pool,
33         },
34         DisableCompression: true,
35     }
36 
37     client = &http.Client{Transport: tr}
38   
39    // resp, err = client.Get("https://127.0.0.1:9898/test") 
40     resp,err=client.Get("https//server:9898/test")
41     if err != nil {
42         log.Fatalln("接口请求失败", err)
43     }
44 
45     defer resp.Body.Close()
46 
47     body, err = ioutil.ReadAll(resp.Body)
48 
49     log.Println("请求结果", string(body))
50 
51 }

 3、server/client的双向校验

 

  • 生成证书
openssl genrsa -out ca.key 2048

# 这里可以使用 -subj 不用进行交互 当然还可以添加更多的信息
openssl req -x509 -new -nodes -key ca.key -subj "/CN=ld.com" -days 5000 -out ca.crt

openssl genrsa -out server.key 2048

#这里的/cn可以是必须添加的 是服务端的域名 或者是etc/hosts中的ip别名
openssl req -new -key server.key -subj "/CN=server" -out server.csr

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000

#查询证书的情况
openssl x509 -in ./server.crt -noout -text

注意生成client端证书的时候,注意要多添加一个字段,golang的server端认证程序会对这个字段进行认证:
openssl genrsa -out client.key 2048

openssl req -new -key client.key -subj "/CN=client" -out client.csr

echo extendedKeyUsage=clientAuth > extfile.cnf

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out client.crt -days 5000
  • server代码
package main

// 双向认证
import (
    "crypto/tls"
    "crypto/x509"
    "fmt"
    "io/ioutil"
    "log"
    "net/http"
)

type ServerHandler struct{}

func (s *ServerHandler) ServeHTTP(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w,"测试")
}

func main() {
    pool := x509.NewCertPool()
    caPath := "cert/ca.crt"
    crt, err := ioutil.ReadFile(caPath)
    if err != nil {
        log.Fatalln("读取证书错误", err)
    }
    pool.AppendCertsFromPEM(crt)

    s := &http.Server{
        Addr:    ":9898",
        Handler: &ServerHandler{},
        TLSConfig: &tls.Config{
            ClientCAs:  pool,
            ClientAuth: tls.RequireAndVerifyClientCert,
        },
    }
    s.ListenAndServeTLS("cert/server.crt", "cert/server.key")
}
  • client 代码  
package main

import (
    "crypto/tls"
    "crypto/x509"
    "io/ioutil"
    "log"
    "net/http"
)

func main() {
    var (
        resp   *http.Response
        err    error
        body   []byte
        tr     *http.Transport
        client *http.Client
        pool   *x509.CertPool
        crt    []byte
        cliCrt tls.Certificate
    )
    pool = x509.NewCertPool()
    // 读取证书
    crt, err = ioutil.ReadFile("cert/ca.crt")
    if err != nil {
        log.Fatalln("读取证书错误", err)
    }
    pool.AppendCertsFromPEM(crt)
    // 加载X509 client证书和秘钥
    cliCrt,err=tls.LoadX509KeyPair("cert/client.crt","cert/client.key")
    if err!=nil{
        panic(err)
    }

    tr = &http.Transport{
        TLSClientConfig: &tls.Config{
            // InsecureSkipVerify: true,
            RootCAs: pool,
            Certificates:[]tls.Certificate{cliCrt},
        },
        // DisableCompression: true,
    }

    client = &http.Client{Transport: tr}

    resp, err = client.Get("https://127.0.0.1:9898/test")

    if err != nil {
        log.Fatalln("接口请求失败", err)
    }

    defer resp.Body.Close()

    body, err = ioutil.ReadAll(resp.Body)

    log.Println("请求结果", string(body))
}

 

 

四、错误

  • cannot validate certificate for 127.0.0.1 because it doesn't contain any IP SANs

  说明是认证没有通过,因为客户端这面并没有提供可以信赖的根证书来对服务端发过来的证书进行验,/CN使用的直接是ip地址,就会报下面的错误:

 

流年诠释一切
关注
专栏目录
Go实战--golang中使用HTTPS以及TSL(.crt、.key、.pem区别以及crypto/tls包介绍)
一蓑烟雨任平生 也无风雨也无晴
08-23 5万+
生命不止,继续go go go!!!HTTP与HTTPS在WWDC 2016上,苹果在发布iOS 9的同时也向开发者传递了一个消息,那就是到2017年1月1日时App Store中所有应用都必须启用 App Transport Security应用程序安全传输协议,从而提升应用和系统安全性。HTTPS是Hyper Text Transfer Protocol Secure的缩写,相比http,多了一
Golang https
云满笔记
12-04 948
注意, 这里方便演示直接设置了 http 包默认的 http Client 了。
golang https服务
国产-达芬奇
01-23 951
golang https服务
golang 实现https请求
Programmer_FuQiang的博客
12-24 2万+
首先我们先来创建一个http请求 //http.go package main import (     "fmt"     "net/http" ) func handler(w http.ResponseWriter, r *http.Request) {     fmt.Fprintf(w,      "这个是http请求") } func main() {     http.Ha...
golanghttps学习
OceanStar的博客
07-22 978
文章目录1、http请求2、https 请求2.1 安装openssl2.1 生成证书2.2 生成一个https服务器2.3 代码访问https客户端 1、http请求 package main import ( "fmt" "net/http" ) func handler(w http.ResponseWriter, r *http.Request) { fmt.F...
feathers-go:Golang https中feathersjs api的实现
04-10
这是golang中feathersjs api的实现。 它目前处于概念验证状态,几乎所有的Feather接口都已实现,并且与Feather客户端模块兼容 依存关系 包含了gosf-socketio实现的修改后的实现,它增加了feathers-client所需的一些...
notes-app:在Golang https中的notes-app后端
04-22
golang中的notes-app后端。 该应用程序可以在三个APP_MODE中运行:[Dev,Test,Prod]。 默认情况下,它将在dev模式下运行。 运行测试时,它将切换为以test模式运行。 Prod是一个严格的运行环境,您需要在运行主...
适用于所有Go程序的自动HTTPS:完全托管的TLS证书发行和更新-Golang开发
05-26
简便而强大的TLS自动化在一个功能强大且易于使用的库中,Caddy Web Server Caddy的自动TLS功能所使用的库(现已用于您自己的Go程序)与该库相同! CertMagic是最成熟,最强大,最简便且功能强大的TLS自动化功能,它...
golang配置https协议
erlei1992的博客
08-10 1798
golang配置https协议区别:HTTP 的URL 以http:// 开头,而HTTPS 的URL 以https:// 开头HTTP 是不安全的,而 HTTPS 是安全的HTTP 标准端口是80 ,而 HTTPS 的标准端口是443在OSI 网络模型中,HTTP工作于应用层,而HTTPS 工作在传输层HTTP 无法加密,而HTTPS 对传输的数据进行加密HTTP无需证书,而HTTPS 需要CA机
Golang代码实现HTTPs(HTTPS证书生成和部署)
weixin_30236595的博客
04-22 2217
在win7下试试: 1.实现一个最简单的HTTPS Web Server // gohttps/2-https/server.go package main import ( "fmt" "net/http" ) func handler(w http.ResponseWriter, r *http.Request) { fmt.Fprintf...
详解golang中发送http请求的几种常见情况
09-18
主要介绍了详解golang中发送http请求的几种常见情况,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【Go】——Golang处理HTTP/HTTPS请求
赵凯月的博客
10-30 1868
我们可以这样认为: 一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,DELETE就对应着对这个资源的 查,改,增,删 4个操作。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。1.Get是最常用的方法,通常用于请求服务器发送某个资源,而且应该是安全的和幂等的。
golang https服务简单介绍
架构师实战感悟
11-20 6276
首先从启动http监听服务开始. 完成Server实例创建. 配置http协议 启动tcp监听 下边通过一个流程来介绍http启动与接收请求服务的过程. 1. 通过下边的函数,开启http服务,下边函数主要初始化了Server实例,然后通过ListenAndServeTLS开启https服务.func ListenAndServeTLS(addr, certFile, keyFile string
https原理以及golang基本实现
weixin_33794672的博客
07-11 165
关于https 背景知识 密码学的一些基本知识 大致上分为两类,基于key的加密算法与不基于key的加密算法。现在的算法基本都是基于key的,key就以一串随机数数,更换了key之后,算法还可以继续使用。 基于key的加密算法又分为两类,对称加密和不对称加密,比如DES,AES那种的,通信双方一方用key加密之后,另一方用相同的key进行反向的运算就可以解密。 不对称加密比较著名的就是RSA,加密...
golang项目访问https的问题
weixin_34235105的博客
10-20 457
2019独角兽企业重金招聘Python工程师标准>>> ...
golang实现https请求跳过证书验证
热门推荐
TigerwolfC的博客
12-17 2万+
请求 https 网站跳过证书验证 我在用 Golang 访问 IPPBX 的管理页面时出现以下错误,因为证书是未经过认证的,而是自己创建的。 错误信息:Get https://192.168.0.199:8443/config/app: x509: certificate signed by unknown authority 所有我需要忽略检查证书,以下是部分代码。 import ( “cry...
Golang发送HTTP、HTTPS请求(包含Token和证书的请求)
Liing0的博客
12-17 2万+
Golang发送HTTP、HTTPS请求前景提要正文1. 最简单的 HTTP 请求 —— Get 方法使用场景代码解释说明2. 难度升级——加入证书的 HTTPS 请求使用场景代码解释说明3. 在 Header 中添加 token 的 HTTPS 请求使用场景代码解释说明 前景提要 本文源自于博主在编写获取 Kubernetes 集群组件的 /metrics 接口下的内容的程序时踩过的坑,所以 Demo 将结合 K8S 集群进行测试。当然也适用于发送一些常规的 HTTP 请求、带有证书的 HTTPS 请求
Golang的http编程
Gcaptain
11-02 447
文章目录1. 概述2. http服务端3. https服务端3. http客户端发送请求 1. 概述 我们简单的描述一下什么是web服务的工作方式,通常一个客户端(客户端可以是浏览器或者其他任何能发送http请求得工具)请求一个URL(uniform resource locator ) ,如果这个url是域名那么首先会去请求DNS(Domain Name System) 获取域名对应的真实I...
使用Go语言实现HTTPS请求
weixin_73725158的博客
01-17 1688
Go语言,又称Golang,是一种高效、简洁的编程语言。它内置了对HTTP和HTTPS的支持,使得在Go中实现HTTPS请求变得非常简单。下面是一个简单的示例,展示了如何使用Go发送HTTPS请求。在实际应用中,你应该避免这样做,因为这会使你的应用程序容易受到中间人攻击。接下来,它创建一个GET请求并发送它。最后,它读取并打印响应的内容。// 创建一个http.Client,使用自定义的Transport。然后,创建一个新的Go文件,比如。// 创建一个自定义的Transport,配置TLS。
golang resty https
最新发布
08-25
在 Go 语言中,`resty` 是一个方便使用的 HTTP 客户端库,它简化了发送网络请求的操作。如果你想要使用 `resty` 发起HTTPS请求,只需要在调用 `Get`, `Post`, 等方法时指定 HTTPS URL 即可。例如: ```go package main import ( "github.com/go-resty/resty/v2" ) func main() { client := resty.New().SetTLSClientConfig(&resty.TLSConfig{}) resp, err := client.R(). SetBasicAuth("username", "password"). // 设置基本认证,如需 Get("https://api.example.com/data") // 替换为你实际的HTTPS地址 if err != nil { fmt.Println("Error:", err) } else { defer resp.Body.Close() // 处理响应,如解析JSON、提取数据等 body, _ := ioutil.ReadAll(resp.Body()) fmt.Println(string(body)) } } ``` 在这个代码片段中,我们创建了一个新的 `resty.Client` 并设置了TLS配置,确保了安全连接。接着,我们使用 `.Get()` 方法发送一个 GET 请求到指定的HTTPS地址,并处理可能出现的错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值