使用 Go 实现 TLS socket server

最新推荐文章于 2024-07-23 11:53:27 发布
最新推荐文章于 2024-07-23 11:53:27 发布
阅读量421 收藏
点赞数
文章标签: https nagios ssl 区块链 分布式存储

女主宣言

安全传输层协议 TLS,以前称为 SSL(Secure Sockets Layer) ,由于HTTPS的推出受到了很多人的欢迎。但是正如TLS的名称 Transport Layer Security 所示的那样,它实际上是独立于 HTTP,一个更深入的安全协议,我们可以将 TLS 视为 TCP 的安全版本,其提供了对 socket 通信进行加密和签名的功能。在我们的日常开发中,会将 gRPC 协议运行在TLS之上以确保安全。

今天我们来了解一下如何创建一个通过 TLS 加密的 socket 服务,

PS:丰富的一线技术、多元化的表现形式,尽在“360云计算”,点关注哦!

1

TLS socket server

服务端示例

func main() {
  port := flag.String("port", "8360", "listening port")
  certFile := flag.String("cert", "cert.pem", "certificate PEM file")
  keyFile := flag.String("key", "key.pem", "key PEM file")
  flag.Parse()
  cert, err := tls.LoadX509KeyPair(*certFile, *keyFile)
  if err != nil {
    log.Fatal(err)
  }
  config := &tls.Config{Certificates: []tls.Certificate{cert}}
  log.Printf("listening on port %s\n", *port)
  l, err := tls.Listen("tcp", ":"+*port, config)
  if err != nil {
    log.Fatal(err)
  }
  defer l.Close()
  for {
    conn, err := l.Accept()
    if err != nil {
      log.Fatal(err)
    }
    log.Printf("accepted connection from %s\n", conn.RemoteAddr())
    go func(c net.Conn) {
      io.Copy(c, c)
      c.Close()
      log.Printf("closing connection from %s\n", conn.RemoteAddr())
    }(conn)
  }
}
go

这个服务端程序接受来自多个客户端并发请求,并向客户端发送的所有的镜像数据。和非TLS服务相比,这里用 tls.Listen 替换了 net.Listen,同时需要提供一个可用的 tls.Config,我们可以使用 mkcert 命令来生成证书和密钥对文件。

2

TLS socket client

客户端示例:

func main() {
  port := flag.String("port", "8360", "port to connect")
  certFile := flag.String("certfile", "cert.pem", "trusted CA certificate")
  flag.Parse()
  cert, err := os.ReadFile(*certFile)
  if err != nil {
    log.Fatal(err)
  }
  certPool := x509.NewCertPool()
  if ok := certPool.AppendCertsFromPEM(cert); !ok {
    log.Fatalf("unable to parse cert from %s", *certFile)
  }
  config := &tls.Config{RootCAs: certPool}
  conn, err := tls.Dial("tcp", "localhost:"+*port, config)
  if err != nil {
    log.Fatal(err)
  }
  _, err = io.WriteString(conn, "Hello simple secure Server\n")
  if err != nil {
    log.Fatal("client write error:", err)
  }
  if err = conn.CloseWrite(); err != nil {
    log.Fatal(err)
  }
  buf := make([]byte, 256)
  n, err := conn.Read(buf)
  if err != nil && err != io.EOF {
    log.Fatal(err)
  }
  fmt.Println("client read:", string(buf[:n]))
  conn.Close()
}
go

和非 TLS 客户端相比,我们同样也只是把 net.Dial 换成 tls.Dial, tls.Config 中填写的证书可以选择权威 ca 颁发的证书,也可以使用自签名证书。

3

证书链

一般来说,我们将自己生成的 CSR 提交给签名商,他们用中级证书机构的私钥 Private Key 给我们的签名成证书,Root CA 通过它的私钥对中级机构提交的CSR进行签名。

证书颁发机构是一个树形结构的。比如在验证我们证书X的有效性的时候,会一层层的去寻找颁发者的证书,直到自签名的根证书,然后通过相应的公钥再反过来验证下一级的数字签名的正确性。直到找到X证书,这就是证书链(Certificate Chains)。

我们可以使用以下程序检查任何服务器的证书链:

func main() {
addr := flag.String("addr", "localhost:8360", "dial address")
flag.Parse()
cfg := tls.Config{}
conn, err := tls.Dial("tcp", *addr, &cfg)
if err != nil {
log.Fatal("TLS connection failed: " + err.Error())
}
defer conn.Close()
certChain := conn.ConnectionState().PeerCertificates
for i, cert := range certChain {
fmt.Println(i)
fmt.Println("Issuer:", cert.Issuer)
fmt.Println("Subject:", cert.Subject)
fmt.Println("Version:", cert.Version)
fmt.Println("NotAfter:", cert.NotAfter)
fmt.Println("DNS names:", cert.DNSNames)
fmt.Println("")
}
}
go

给定IP地址后,启动程序后会与服务器建立一条 TLS 连接,并上报其使用的证书给服务端。如果我们使用未处理过的自签的证书,TLS 服务端验证是通不过的。所以我们需要权威ca 颁发的证书,或者使用 mkcert 为我们的服务器生成证书来使他生效。

打开终端,执行 mkcert 命令:

➜  kangkai-iri ./mkcert localhost
➜  kangkai-iri go run tls-socket-server.go -cert localhost.pem -key localhost-key.pem

新打开一个终端,运行 tls-dial-port:

➜  kangkai-iri go run tls-dial-port.go -addr localhost:4040

我们看到生成了证书 mkcert。由于 mkcert 将此证书添加到服务器的系统根存储中,直接使用 tls.Dial 将信任该证书。

360云计算

由360云平台团队打造的技术分享公众号,内容涉及数据库、大数据、微服务、容器、AIOps、IoT等众多技术领域,通过夯实的技术积累和丰富的一线实战经验,为你带来最有料的技术分享

ZVAyIVqt0UFji
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TLS源码与底层socket通讯分析
新时代农民工
08-15 368
实际上他们调用代码都是一样的,handshake_func 为空时,需要对handshake_func 初始化,使它指向struct ssl_method_st 方法中的 s->method->ssl_accept。回调到statem.c的static SUB_STATE_RETURN write_state_machine(SSL *s)使用ctx上下文创建 SSL的连接对象,通常是一个SSL是表征一个安全连接连接进来的一个客户端,调用的tls1_new回调。底层的socket实现回调。
Golang socket编程
SmartShepi的博客
03-30 579
目录socket编程基本概念TCP客户端服务端UDP客户端服务端实例&常见问题构建http服务基本概念客户端服务端实例&常见问题 socket编程 基本概念 TCP 客户端 服务端 UDP 客户端 服务端 实例&常见问题 构建http服务 基本概念 客户端 服务端 实例&常见问题 ...
2024年Go最全Go异常处理——defer、panic、recover,Golang零基础
2401_84920027的博客
05-11 369
事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!二、panic和recover(宕机和宕机恢复)
TLS/SSL Socket 实现
05-25
NULL 博文链接:https://sariel.iteye.com/blog/469035
使用Go实现TLS 服务器和客户端
wuhuimin521的博客
05-06 3664
使用Go实现TLS 服务器和客户端 传输层安全协议(Transport Layer Security,缩写:TLS),及其前身安全套接层(Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 SSL包含记录层(Record L...
golang简单实现一个基于TLS/SSL的 TCP服务器和客户端
weixin_33862188的博客
06-21 1329
本篇文章介绍一下使用TLS/SSL创建安全的TCP通信,首先我们要准备一个数字证书和一个密钥关于如何产生密钥,请看下面文章: Author: 岳东卫 Email: usher.yue@gmail.com 通过Openssl创建数字证书和密钥 TLS服务器端代码 TLS客户端代码 通过Openssl创建数字...
基于TLSSocket的通信能力
最新发布
hongxiaomeng的博客
07-23 379
Go 实现 TLS server 及client (1, TLS简介)
zsc347的博客
12-21 948
本系列文章包含以下内容 单向TLS不认证,客户端不检查服务端证书的有效性 单向TLS认证,客户端检查服务端证书的有效性 双向TLS认证,服务端验证客户端证书的有效性 升级协议,在通信过程中升级成TLS通信 本系列文章中大写C统一表示客户端,大写S表示服务器端。 简介 TLS(Transport layer layer)是一种安全协议,目的为互联网通信提供安全及完整性保障 定义摘自维基百科。...
ssl socket java_Java SSL/TLS Socket实现
weixin_42515045的博客
02-12 1020
通信端无需向对方证明自己的身份,则称该端处于“客户模式”,否则称其处于“服务器模式”,无论是客户端还是服务器端,都可处于“客户模式”或者“服务器模式”首先生成服务器端认证证书,使用java自带的keytool工具:其中:-genkey:生成一对非对称密钥-keyalg:加密算法-keystore:证书存放路径-alias:密钥对别名,该别名是公开的相同的方式,生成客户端认证证书,不过命名为clie...
go-server 一个在学习中形成的socket服务
菜鸟记录
02-14 887
go-server 项目地址:https://github.com/zboyco/go-server go-server 是我在学习golang的过程中,从最简单的socket一步一步改造形成的。 目前功能如下: 普通的tcp功能(废话) 使用标准库bufio.Scanner实现拆包,可以直接使用bufio.Scanner内置的拆包协议 提供普通OnMessage和命令路由两种使用模式 采用实现...
使用Socket实现安全加密通信:SSLTLS
Socket(套接字)是实现网络通信的一种机制,它定义了网络通信的一些基本操作和数据结构。通过使用Socket,我们可以在计算机之间建立连接并进行数据的传输。 在Socket通信中,有两种常见的协议:TCP(Transmission ...
golang简单tls协议用法完整示例
09-21
主要介绍了golang简单tls用法,分析了tls协议的使用步骤及客户端与服务器端的相关实现代码,需要的朋友可以参考下
golang学习(二十二):tcp socket编程入门
weixin_44079228的博客
03-17 344
//1、编写一个客户端程序,能链接到服务端的8888窗口 //2、客户端可以发送单行数据,然后退出 //3、能通过终端输入数据(输入一行发送一行)并发送给服务器端 //4、在终端输入exit,表示退出程序 server.go package main import ( "fmt" "net" ) //tcp socket编程入门 //1、编写一个客户端程序,能链接到服务端的888...
Go语言学习之旅--五:网络通信概述/Socket/Go的并发/通道
m0_52774518的博客
05-08 382
网络通信概述: 互联网中主机和主机连接必须遵守特定的要求,这个要求称为协议 OSI(Open System Interconnection)开放式系统互联.定义了计算机互联时网络通信的7层(图片来源互联网) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6kgCegWv-1620392527127)(images/3_1_1_wlfc.png)] 目前大规模使用的是TCP/IP协议(图片来源互联网) 应用层 合并OSI中5,6,7层(会话层,表示层,应用层) 常用
Go中TLS源码学习(3)之 TLS握手在net/http框架中的入口
遇见你是我最美丽的意外
05-04 703
快速了解TLS协议,并深入学习协议原理
golang长连接和短连接的那些事儿
J_Lee
05-29 5230
文章目录一、TCP长连接和短连接区别1.1 长连接、短连接概念1.2 长连接、短连接的传输过程区别1.3 长连接与短连接的优缺点二、TCP长连接和短连接应用场景2.1 长连接应用场景2.2 短连接应用场景三、Golang HTTP连接池3.1 问题引入3.2 golang连接池原理3.3 连接获取与回收3.4 空闲连接超时关闭3.5 排队队列怎么实现3.6 tranport连接池总结四、初始化HTTP长连接池4.1 net/http client使用4.2 Transport连接池使用4.3 各个超时时间设
tcp,http,socket,https,ssl,tls
心猿意码
03-12 3518
SO/OSI七层模型和TCP/IP模型的关系 tcp协议 tcp协议属于传输层协议(UDP也属于传输层协议,但是UDP协议是无状态的)。建立一个TCP连接需要三次握手,断开一个TCP连接需要四次挥手。手机能够使用联网功能,是因为手机底层实现了TCP/IP协议,使用手机终端通过无线网就可以与服务端建立一个tcp连接。TCP协议可以对上层网络提供接口,使上层网络数据的传输建立在“无差别”的网络之上。 http协议 http协议,简称超文本传输协议(Hypertext Transfer Protoco
python tls serversocket代码
04-22
这是一个Python TLS服务器端socket的代码示例: ``` import socket import ssl context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER) context.load_cert_chain(certfile="server.crt", keyfile="server.key") HOST = '' # Listen on all interfaces PORT = 8443 with socket.socket(socket.AF_INET, socket.SOCK_STREAM, 0) as sock: sock.bind((HOST, PORT)) sock.listen(1) with context.wrap_socket(sock, server_side=True) as ssock: print("server is listening on", ssock.getsockname()) conn, addr = ssock.accept() with conn: print("connected by", addr) while True: data = conn.recv(1024) if not data: break conn.sendall(data) ``` 此代码使用Python中的`socket`和`ssl`模块创建了一个TLS服务器端socket。该服务器绑定到本地8443端口并侦听传入的连接。一旦连接建立,服务器将使用本地存储的证书与客户端进行TLS握手。一旦成功握手,服务器将接收客户端数据并转发回客户端。 请注意,此代码仅仅是作为一个示例演示其工作原理。实际使用中,您需要使用适当的证书和私钥,以及正确的TLS协议版本和加密套件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值