gin使用自签名SSL证书与自签名证书不受信任方法解决

最新推荐文章于 2024-10-04 14:05:16 发布
最新推荐文章于 2024-10-04 14:05:16 发布
阅读量1.9k 收藏 25
点赞数 20
分类专栏: java Go 文章标签: ssl gin https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penngo/article/details/134992721
版权
java 同时被 2 个专栏收录
41 篇文章 1 订阅
订阅专栏
Go
13 篇文章 0 订阅
订阅专栏

文章目录

1. X.509 V3证书介绍

X.509 是公钥证书的格式标准, 广泛用于 TLS/SSL 安全通信或者其他需要认证的环境中。
X.509 证书可以由 CA(Certificate Authority,数字证书认证机构)颁发,也可以自签名产生。

*X.509 证书中主要含有公钥、身份信息、签名信息和有效性信息等信息,这些信息用于构建一个验证公钥的体系。

- 公钥 : 非对称密码中的公钥。公钥证书的目的就是为了在互联网上分发公钥。
- 身份信息 : 公钥对应的私钥持有者的信息,域名以及用途等。
- 签名信息 : 对公钥进行签名的信息,提供公钥的验证链。可以是 CA
- 的签名或者是自签名,不同之处在于CA证书的根证书大都内置于操作系统或者浏览器中,而自签名证书的公钥验证链则需要自己维护(手动导入到操作系统中或者再验证流程中单独提供自签名的根证书)。
- 有效性信息:证书的有效时间区间,以及 CRL(证书吊销列表)等相关信息。
- X.509 证书的标准规范RFC5280中详细描述了证书的 Encoding Format(编码格式)和Structure(证书结构)。

X.509 证书相关文件常见的扩展名

  • .pem : 隐私增强型电子邮件格式(缩写:PEM)格式,通常是由证书的 DER 二进制 Base64 编码得出。(最常用)。
  • .key : PEM 格式的私钥文件。
  • .pub : PEM 格式的公钥文件。
  • .crt : PEM 格式的公钥证书文件,也可能是 DER。
  • .cer : DER 格式的公钥证书文件,也可能是 PEM。
  • .crs : PEM 格式的 CSR 文件,也可能是 DER。
  • .p12 – PKCS#12 格式,包含证书的同时可能还包含私钥。
  • .pfx – PFX,PKCS#12 之前的格式(通常用PKCS#12格式,比如由互联网信息服务产生的 PFX 文件)。

2、使用openssl生成自签名证书和解决不受信任问题

openssl命令行工具用于从shell程序使用OpenSSL加密库的各种加密功能。 它可以用于:

创建和管理私钥,公钥和参数
公钥加密操作
创建X.509证书,CSR和CRL
消息摘要的计算
使用密码进行加密和解密
SSL / TLS客户端和服务器测试
处理S / MIME签名或加密的邮件
时间戳记请求,生成和验证

2.1、生成根证书

# 生成根证书CA.crt和根证书私钥CA.key
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj "/C=CN/ST=GD/L=GD/O=PenngoDev/CN=Create by penngo" -keyout CA.key -out CA.crt -reqexts v3_req -extensions v3_ca

2.2、为域名生成证书申请文件

# 创建证书的私钥
openssl genrsa -out penngo.test.key 2048
# 根据私钥创建一个证书申请文件private.csr,注意证书主体的描述使用-subj参数描述,CN必须和应用中请求的地址一致,可以是IP地址或域名
openssl req -new -key penngo.test.key -subj "/C=CN/ST=GD/L=GD/O=penngo_test/CN=www.penngo.test" -sha256 -out penngo.test.csr

2.3、为域名创建证书的扩展描述文件

根据证书申请文件创建证书的扩展描述文件,如果不使用扩展描述文件,那么在浏览器中无法授信,会提示证书无效。

#penngo.test.ext
[ req ]
default_bits        = 1024
distinguished_name  = req_distinguished_name
req_extensions      = ptest
extensions          = ptest
[ req_distinguished_name ]
countryName         = CN
stateOrProvinceName = Definesys
localityName        = Definesys
organizationName    = Definesys
[PTEST]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = DNS:www.penngo.test

2.4、为域名创建证书

根据penngo.test.csr文件和penngo.test.ext、以及根证书CA.crt创建一个域名证书penngo.test.crt

openssl x509 -req -days 365 -in penngo.test.csr -CA CA.crt -CAkey CA.key -CAcreateserial -sha256 -out penngo.test.crt -extfile penngo.test.ext -extensions PTEST

最终生成的文件包括:

CA.crt  # 根证书
CA.key  # 根证书私钥
penngo.test.crt # 域名证书
penngo.test.key # 域名证书私钥

根证书中的主体描述可以随意填,但是域名证书中的主体的CN必须和请求地址中的IP或域名一致。

双击根证书CA.crt选择安装证书,注意在选择安装区域时,一定要选择“受信任的根证书颁发机构”。

3、Go应用中使用自签名证书

3.1、gin框架调用实现

package main
import (
	"github.com/gin-gonic/gin"
	"html/template"
)
var html = template.Must(template.New("https").Parse(`
<html>
<head>
  <title>Https Test</title>
  <script src="/assets/app.js"></script>
</head>
<body>
  <h1>Welcome, Test!</h1>
</body>
</html>
`))
func main() {
	r := gin.Default()
	r.Static("/assets", "./assets")
	r.SetHTMLTemplate(html)

	r.GET("/", func(c *gin.Context) {
		c.HTML(200, "https", gin.H{
			"status": "success",
		})
	})

	// 监听并在 https://127.0.0.1:8080 上启动服务
	r.RunTLS(":443", "./testdata/penngo.test.crt", "./testdata/penngo.test.key")
}

3.2、运行效果

在这里插入图片描述

4、使用java的bouncycastle生成ssl证书

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>com.penngo</groupId>
        <artifactId>code_test</artifactId>
        <version>1.0</version>
    </parent>

    <artifactId>tls_https</artifactId>

    <properties>
        <maven.compiler.source>11</maven.compiler.source>
        <maven.compiler.target>11</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>
    <dependencies>
        <!-- https://mvnrepository.com/artifact/org.bouncycastle/bcprov-ext-jdk18on -->
        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcprov-ext-jdk18on</artifactId>
            <version>1.77</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.bouncycastle/bcpkix-jdk18on -->
        <dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcpkix-jdk18on</artifactId>
            <version>1.77</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/commons-io/commons-io -->
        <dependency>
            <groupId>commons-io</groupId>
            <artifactId>commons-io</artifactId>
            <version>2.15.1</version>
        </dependency>
    </dependencies>
</project>

X509V3CreateExample.java

package com.penngo;

import java.io.File;
import java.math.BigInteger;
import java.nio.charset.StandardCharsets;
import java.security.*;
import java.security.cert.X509Certificate;
import java.util.Base64;
import java.util.Date;
import org.apache.commons.io.FileUtils;
import org.bouncycastle.asn1.x500.X500Name;
import org.bouncycastle.asn1.x500.X500NameBuilder;
import org.bouncycastle.asn1.x500.style.BCStyle;
import org.bouncycastle.asn1.x509.*;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.x509.X509V3CertificateGenerator;

/**
 * Basic X.509 V3 Certificate creation with TLS flagging.
 */
public class X509V3CreateExample {
    static {
        try {
            Security.addProvider(new BouncyCastleProvider());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    /**
     * 生成Subject信息
     *
     * @param C  Country Name (国家代号),eg: CN
     * @param ST State or Province Name (洲或者省份)
     * @param L  Locality Name (城市名)
     * @param O  Organization Name (可以是公司名称)
     * @param OU Organizational Unit Name (可以是单位部门名称)
     * @param CN Common Name (服务器ip或者域名)
     * @return X500Name Subject
     */
    public static X500Name generateSubject(String C, String ST, String L,
                                           String O, String OU, String CN) {
        X500NameBuilder x500NameBuilder = new X500NameBuilder();
        x500NameBuilder.addRDN(BCStyle.C, C);
        x500NameBuilder.addRDN(BCStyle.ST, ST);
        x500NameBuilder.addRDN(BCStyle.L, L);
        x500NameBuilder.addRDN(BCStyle.O, O);
        x500NameBuilder.addRDN(BCStyle.OU, OU);
        x500NameBuilder.addRDN(BCStyle.CN, CN);
        return x500NameBuilder.build();
    }
    public static X509Certificate generateV3Certificate(KeyPair pair)
            throws InvalidKeyException, NoSuchProviderException, SignatureException {
        // generate the certificate
        X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();

        certGen.setSerialNumber(BigInteger.valueOf(System.currentTimeMillis()));

        certGen.setNotBefore(new Date(System.currentTimeMillis()));
        certGen.setNotAfter(new Date(System.currentTimeMillis() + (long)1000 * 3600 * 24 * 365));

        // 颁发对象
        X500Name subject2 = generateSubject("CN", "GuangDong", "GuangZhou", "博客:https://blog.csdn.net/penngo", "penngo", "www.penngo.test");
        certGen.setSubjectDN(X509Name.getInstance(subject2));

        // 颁发者
        X500Name subject = generateSubject("CN", "GuangDong", "GuangZhou", "DO_NOT_TRUST", "DO_NOT_TRUST", "Created by penngo");
        certGen.setIssuerDN(X509Name.getInstance(subject));

        certGen.setPublicKey(pair.getPublic());
        certGen.setSignatureAlgorithm("SHA256WithRSAEncryption");

        certGen.addExtension(X509Extensions.BasicConstraints, true, new BasicConstraints(false));
        certGen.addExtension(X509Extensions.KeyUsage, true, new KeyUsage(KeyUsage.digitalSignature | KeyUsage.keyEncipherment));

        certGen.addExtension(X509Extensions.ExtendedKeyUsage, true, new ExtendedKeyUsage(KeyPurposeId.id_kp_serverAuth));

//        certGen.addExtension(X509Extensions.SubjectAlternativeName, false, new GeneralNames(new GeneralName(GeneralName.rfc822Name, "test@test.test")));

        return certGen.generateX509Certificate(pair.getPrivate(), "BC");
    }

    public static void main(
            String[] args)
            throws Exception {
        // create the keys
        KeyPair pair = Utils.generateRSAKeyPair();
        PrivateKey aPrivate = pair.getPrivate();
        //下面是私钥key生成的过程
        byte[] privateKeyEncode = aPrivate.getEncoded();
        String privateKeyStr = Base64.getEncoder().encodeToString(privateKeyEncode);
        String privateKeyFileContent = "" +
                "-----BEGIN RSA PRIVATE KEY-----\n" +
                lf(privateKeyStr, 64) +
                "-----END RSA PRIVATE KEY-----";
        FileUtils.write(new File("logs\\server2.key"), privateKeyFileContent,
                StandardCharsets.UTF_8);

        // generate the certificate
        X509Certificate cert = generateV3Certificate(pair);
        // show some basic validation
        cert.checkValidity(new Date());
        cert.verify(cert.getPublicKey());
        byte[] encoded = cert.getEncoded();
        String certStr = Base64.getEncoder().encodeToString(encoded);
        System.out.println("valid certificate generated" + certStr);

        String certFileContent = "" +
                "-----BEGIN CERTIFICATE-----\n" +
                lf(certStr, 64) +
                "-----END CERTIFICATE-----";
        FileUtils.write(new File("logs\\server2.pem"), certFileContent,
                StandardCharsets.UTF_8);
    }
    public static String lf(String str, int lineLength) {
        assert str != null;
        assert lineLength > 0;
        StringBuilder sb = new StringBuilder();
        char[] chars = str.toCharArray();
        int n = 0;
        for (char aChar : chars) {
            sb.append(aChar);
            n++;
            if (n == lineLength) {
                n = 0;
                sb.append("\n");
            }
        }
        if (n != 0)
            sb.append("\n");
        return sb.toString();
    }
}

官方参考自官方例子:https://www.bouncycastle.org/documentation.html
注意当前Java例子生成的证书,在浏览器中会显示不受信任的。

penngo
关注
专栏目录
Go-Gin使用SSL
my_live_123
07-17 2365
自签 openssl req -newkey rsa:4096 -nodes -keyout server.key -out server.csr openssl x509 -signkey server.key -in server.csr -req -days 365 -out server.crt 示例 package main import ( "github.com/gin-gon...
记一次自签发证书不被信任解决过程
SimGenius' Tech Blog
11-24 7139
背景 一个前端页面需要与一个本地服务有交流。这个页面处在https环境下,无法调用本地的http接口,需要接口升级为https去调用。 遇到的问题 自签发证书信任证书后,根证书签发的证书总是不被信任解决方式 通过Getting Chrome to accept self-signed localhost certificate这个回答的方式搞定了。 中间出了一些小问题。由于缺乏相关知识,想当然认为https证书检查和跨域检查是相同的要素(协议,域名,端口号),写Common的时候就把本地的端口号40
go gin如何支持https
最新发布
leijmdas的专栏
10-04 485
2. 配置 HTTPS:在 Gin 中,你可以直接使用 http.ListenAndServeTLS 函数来启动 HTTPS 服务。3. 使用中间件:Gin 允许使用中间件来增加额外的功能,例如使用 github.com/unrolled/secure 包来增加安全性,包括 HTTPS 重定向。1. 生成 SSL 证书:你可以使用工具(如 OpenSSL)生成自签名证书和密钥。请注意,如果你使用的是自签名证书,浏览器可能会显示安全警告。在生产环境中,你应该使用由受信任的 CA 签发的证书
证书因为其自签名而不被信任_链证书:电子认证新技术·新应用·新模式
weixin_39610229的博客
11-10 905
证书,是由江苏先安科技有限公司自主研创的全新数字证书技术。该技术在数字证书“成熟可靠、应用广泛”的基础之上,融合区块链“无中心、自管理”的特性,满足“便捷、智能”的当代用户需求,为数字世界的身份认证应用与发展开辟了新的天地。知乎视频​链证书·技术原理传统的数字证书申请流程中,证书申请者向CA机构提交身份、公钥等认证信息,待CA认证机构完成对申请者的身份核验后再将证书颁发给申请者;而在链证书的申请...
firefox:【管理员没有正确配置...】cn.bing.com 使用了无效的安全证书。 该证书因为其自签名而不被信任
qq_42063091的博客
01-24 1万+
今天像往常一样登陆火狐浏览器,结果报出如下图的错误  经过在网上寻找解决方法,如下:  修改为如下图的配置 刷新一下必应的界面,可发现已恢复正常。 ps:这是我自己使用解决方法,此外、网上还有另外的解决方案,对于我没用,但可能其他人有用,我在这里贴一下 1、http://mozilla.com.cn/thread-35440-1-1.html 2、https://...
证书因为其自签名而不被信任_科普!ios企业签名到底是什么?
weixin_39679061的博客
11-16 393
想必有好多人经常会听说过ios企业签名,其实ios企业签名和苹果企业签名是同一个东西不同的叫法。虽然ios企业签名推出市场时间不短了,不过仍然有很多人并不知道它到底是什么?不也不知道ios企业签名有什么用?还有,ios企业签名究竟跟上架App Store有什么关系?现在我们就来简单科普一下,ios企业签名到底是什么?科普!ios企业签名到底是什么?ios企业签名是什么在谈论ios企业签名之前,我们...
证书因为其自签名而不被信任_苹果企业签名如何选择?
weixin_39955149的博客
10-29 627
不同于开放式的Android系统,ios是一个比较封闭的系统,ios用户下载成熟APP的唯一官方正规渠道就是App Store。但我们要知道的是,苹果审核严苛,要想通过层层审核上架App Store并不是一件容易的事情。很多应用无法上架App Store,在这种情况下,开发者们会选择给应用苹果企业签名,不需要上架苹果应用商店就可以直接分发给用户下载安装。亥著-苹果签名|TF上架|超级签名|分发托管...
Nginx配置SSL签名证书方法
01-10
生成自签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in domain.key -out domain_nopass.key ...
Linux下Nginx安全证书ssl配置方法
01-20
分享下我是如何一步步在Nginx上配置SSL的。首先,确保安装了OpenSSL库,并且安装Nginx时使用了–with-...创建证书签名请求(Certificate Signing Request (CSR)) 代码如下:openssl req -new -key server.ke
Nginx自建HTTPS服务器与CA签发证书详解
签名证书适合内部网络环境,但浏览器可能会提示用户证书不受信任,只需用户忽略警告;而受信任的CA签发的证书则为用户提供更高级别的安全性,浏览器会自动接受,并且为网站提供权威性,如DigiCert、Comodo等。 在...
在Nginx服务器中启用SSL的配置方法
01-10
生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如: ...在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: $ cp server.key server.key.org $ openssl rsa -in server.k
Nginx下配置Https证书详细过程
01-09
使用`openssl`命令行工具可以生成自签名SSL证书。例如,运行以下命令会创建一个2048位的RSA私钥和相应的公钥证书: ``` openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /usr/local/ssl/nginx....
解决不受信任的自签名证书问题
Marvin_Wind的博客
02-03 8026
urllib.error.URLError: &lt;urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed 在全局导入import ssl import ssl ssl._create_default_https_context = ssl._create_unverified_context ...
解决https SSL签名证书无效问题
热门推荐
GongMeiyan的博客
01-18 1万+
番外篇-解决https SSL签名证书无效问题在这里插入图片描述 # 本机git窗口操作:将导出的证书from_gitlab.cer证书复制到/usr/local/jdk1.8.0_45/jre/lib/security目录下 scp C:/Users/helenlv/Desktop/DEVOPS/from_gitlab.cer root@10.20.217.17:/usr/local...
SSL签名证书
my的博客
01-17 632
信任SSL证书:会被浏览器信任认可,安全加密服务与安全扫描相关CA配套服务。自签署的SSL证书:不会被浏览器信任,数据被泄漏级劫持安全漏洞安全风险较高。
openssl生成证书,并解决浏览器不信任问题
develop
02-28 5463
1. 前言 关于SSL的理论知识就不细说了,也了解得不是很深入。 这里主要是记录一下 SSL 证书的生成以及证书配置后发现chrome浏览器访问网站会提示网站不安全的问题。 大致流程如下,如果有两个域名,应该只需要生成自签名证书就可以了。 但是我只有一个域名,所以只能用其他的方式解决。openssl 的安装过程比较简单,不详细记录 2. 生成证书 证书的生成过程主要参考了:https://blog.51cto.com/1inux/1638154 第一步 生成私钥文件 命令:sudo op
gin开发WebSocket并开启SSL
clearloe的博客
06-16 571
这段时间工作需求用到实现双工通信,因此选择WebSocket来开发,简单记录一下。
添加自签发的 SSL 证书为受信任的根证书
02-05 3365
通过 SSL 加密的 HTTPS 连接访问网站时,需要安装并配置一个受信任的 CA根证书(Trusted CA Root Certificate)。平常访问一些加密网站之所以不需要自己安装证书,是因为系统或浏览器已经提前安装了一些受信任机构颁发的证书。但有些时候访问一些组织或个人自己签发证书的网站的时候,就会收到浏览器发出的警告。此时可以将该证书添加到“受信任的根证书颁发机构”存储区,...
【GO】29.go-gin支持ssl/tls,即https示例
chen_peng7的博客
02-11 4641
通过自制证书支持本地环境https服务正常运行,实现gin框架https双向认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

penngo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值