golang实现openssl自签名双向认证

已于 2024-03-04 17:40:21 修改
阅读量817 收藏 8
点赞数 6
分类专栏: Golang开发 文章标签: golang 开发语言 后端 ssl
于 2024-03-03 19:15:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36940806/article/details/136436198
版权

第一步:生成CA、服务端、客户端证书

1. 生成CA根证书
  • 生成CA证书私钥
openssl genrsa -out ca.key 4096
  • 创建ca.conf 文件
[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = localhost
  • 生成根证书签发申请文件(csr文件)
openssl req \
  -new \
  -sha256 \
  -out ca.csr \
  -key ca.key \
  -config ca.conf
  • 生成自签发根证书(crt文件)
openssl x509 \
    -req \
    -days 3650 \
    -in ca.csr \
    -signkey ca.key \
    -out ca.pem
2. 生成服务端证书
  • 生成服务端私钥
openssl genrsa -out server.key 2048
  • 创建 server.conf 文件
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = localhost    # 此处需要填写服务域名

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = localhost  # 此处需要填写服务的域名
IP.1      = 127.0.0.1  # 此处需要填写服务的IP
  • 生成服务端签发申请文件(csr文件)
openssl req \
  -new \
  -sha256 \
  -out server.csr \
  -key server.key \
  -config server.conf
  • 使用CA证书签署服务器证书
openssl x509 \
  -req \
  -days 3650 \
  -CA ca.pem \
  -CAkey ca.key \
  -CAcreateserial \
  -in server.csr \
  -out server.pem \
  -extensions req_ext \
  -extfile server.conf
3. 生成客户端证书
  • 生成客户端私钥
openssl genrsa -out client.key 2048
  • 创建 client.conf 文件
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = localhost
  • 生成客户端端签发申请文件(csr文件)
openssl req \
  -new \
  -sha256 \
  -out client.csr \
  -key client.key \
  -config client.conf
  • 使用CA证书签署客户端器证书
openssl x509 \
    -req \
    -days 3650 \
    -CA ca.pem \
    -CAkey ca.key \
    -CAcreateserial \
    -in client.csr \
    -out client.pem

第二步:golang 服务端、客户端代码编写

1. 项目目录结构

在这里插入图片描述

2. 服务端代码:server.go
package main

import (
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"net/http"
	"os"
)

type MyHandler struct {
}

func (h *MyHandler) ServeHTTP(w http.ResponseWriter,
	r *http.Request) {
	fmt.Fprint(w, "Hello, HTTPS!")
}

func main() {
	pool := x509.NewCertPool() // 创建证书池

	caCertPath := "./cert/ca.pem"
	caCrt, err := os.ReadFile(caCertPath) // 读取本地CA证书文件
	if err != nil {
		fmt.Println("ReadFile err:", err)
		return
	}

	pool.AppendCertsFromPEM(caCrt) // 将证书添加到证书池中

	s := &http.Server{ // 创建 HTTP服务器实例,并设置服务器的监听地址(本例中是127.0.0.1:8088)、处理器(即上面定义的myhandler结构体)、以及TLS配置。
		Addr:    "127.0.0.1:8088",
		Handler: &MyHandler{},
		TLSConfig: &tls.Config{
			ClientCAs:  pool,                           // 指定客户端需要验证的CA证书池(即上面创建的pool)
			ClientAuth: tls.RequireAndVerifyClientCert, // 要求客户端在发送请求时必须携带证书
		},
	}

	err = s.ListenAndServeTLS("./cert/server.pem", "./cert/server.key")
	if err != nil {
		fmt.Println("ListenAndServeTLS err:", err)
	}
}
3. 客户端代码:client.go
package main

import (
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"io"
	"net/http"
	"os"
)

func main() {
	pool := x509.NewCertPool()    // 创建 x509.CertPool,用于存储CA证书
	caCertPath := "./cert/ca.pem" // 从文件中读取CA证书的内容
	caCrt, err := os.ReadFile(caCertPath)
	if err != nil {
		fmt.Println("ReadFile err:", err)
		return
	}
	pool.AppendCertsFromPEM(caCrt)                                               // 将CA证书添加到CertPool中
	cliCrt, err := tls.LoadX509KeyPair("./cert/client.pem", "./cert/client.key") //加载客户端证书和私钥
	if err != nil {
		fmt.Println("Loadx509keypair err:", err)
		return
	}
	tr := &http.Transport{ // 创建一个http.Transport,并配置TLS相关信息
		TLSClientConfig: &tls.Config{
			RootCAs:      pool,                      // 设置根证书池
			Certificates: []tls.Certificate{cliCrt}, // 设置客户端证书和私钥
		},
	}
	client := &http.Client{Transport: tr}             // 创建一个http.Client,并设置Transport为上面创建的Transport对象
	resp, err := client.Get("https://127.0.0.1:8088") // 使用创建的Client发送GET请求
	if err != nil {
		fmt.Println("Http Get error:", err)
		return
	}
	defer resp.Body.Close()
	body, err := io.ReadAll(resp.Body) // 读取并打印响应体的内容
	fmt.Println(string(body))
}

第三步:验证

1. 运行服务端
go run ./server/server.go

在这里插入图片描述

2. 运行客户端

第四步:运行客户端

go run ./client/client.go

在这里插入图片描述

赴前尘
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
go-openssl是一个小型库,以输出兼容OpenSSL的方式包装crypto / aes函数-Golang开发
05-26
go-openssl是一个小型库,其中封装crypto / aes函数,使其输出与OpenSSL / CryptoJS兼容。 对于所有加密/解密过程,都使用AES256,因此该库将无法解密使用openssl aes-256-cbc以外的其他方式生成的消息。 如果您使用CryptoJS处理数据,则还需要在那一侧使用AES256。 Luzifer / go-openssl go-openssl是一个小型库,其中封装了crypto / aes函数,其输出与OpenSSL / CryptoJS兼容。 对于所有加密/解密过程,都使用AES256,因此该库将无法解密使用openssl aes-256-cbc以外的其他方式生成的消息。 如果您使用CryptoJS处理数据,则还需要在那一侧使用AES256。 版本支持对于此库,仅支持最新的主要版本。 所有以前的主要版本都不应
**推荐使用Luzifer/go-openssl:一款与OpenSSL兼容的AES加密库**
最新发布
gitblog_00087的博客
06-23 418
推荐使用Luzifer/go-openssl:一款与OpenSSL兼容的AES加密库 go-opensslgo-openssl is a small library wrapping the crypto/aes functions in a way the output is compatible to OpenSSL项目地址:https://gitcode.com/gh_mirrors/go...
golang实现php中的`OPENSSL_ALGO_MD5`
hugoall的博客
11-01 886
golang实现php中的OPENSSL_ALGO_MD5 问题描述: php中的 openssl_sign OPENSSL_ALGO_MD5 用go如何实现:如下 php /**RSA签名 * $data签名数据(需要先排序,然后拼接) * 签名用商户私钥,必须是没有经过pkcs8转换的私钥 * 最后的签名,需要用base64编码 * return Sign签名 */ function Rsasign($data,$priKey) { //转换为openssl密钥,必须是没有经过p
golang与php的openssl_encrypt加解密
伊凡
11-10 1784
golang与php的openssl_encrypt加解密
GO-使用golang解密使用php的openssl_encrypt加密的结果以及key的长度不满足要求时的处理方法(AES-128-CBC/AES-256-CBC)
a_lzq的博客
08-24 4218
GO-使用golang解密使用php的openssl_encrypt加密的结果以及key的长度不满足要求时的处理方法 不通语言之间的通讯尤其涉及到标准加密的情况的时候往往有很多不标准的事情闹得人焦头烂额的.今天就在处理php和go的加密通讯的时候遇到了问题. 首先来看下正常的情况下的通讯 php加密部分 <?php $iv = "1234567890abcdef"; $key = "abcdef1234567890"; //使用OPENSSL_RAW_DATA,多一次转换,方便说明白通讯过程 echo
x509证书、openssl、go生成证书
youngZ_H的博客
03-21 6540
文章目录x509证书1. 概述2. x509证书结构2.1 证书扩展字段(X509v3 extensions)2.1.1 Key Usage2.1.2 Extended Key Usage2.1.3 Basic Constraints2.1.4 Subject Key Identifier2.1.5 Subject Alternative Name3. 证书分类3.1 根证书3.2 中间证书3.3 实体证书4. 证书的输出格式5. 证书吊销6. OpenSSL使用6.1 生成公私钥6.1.1生成rsa公私钥
循环鼠标自动点击功能- Golang实现
04-10
在本文中,我们将深入探讨如何利用Golang实现这个功能,并了解相关的核心知识点。 首先,我们需要了解的是Golang的图形用户界面(GUI)库。虽然Golang的标准库并没有内置GUI支持,但社区提供了多个第三方库,如`go-...
利用Golang实现TCP连接的双向拷贝详解
01-01
本文主要给大家介绍了关于Golang实现TCP连接的双向拷贝的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。 最简单的实现 每次来一个Server的连接,就新开一个Client的连接。用一个...
golang生成公钥私钥证书 及 自签名证书 通过云账号dns验证直接生成freessl证书 openssl常用方法介绍
10-25
1.go生成rsa证书 自签名证书 2.go生成ecc证书 自签名证书 3.go生成公钥私钥 4.对自已生成的公钥私钥进行签名,得到签名证书crt 5.通过设置云dns账号直接生成freessl证书 6.openssl一些惯用方法介绍 7.如生成pfx格式的...
golang之tcp自动重连实现方法
01-01
操作系统: CentOS 6.9_x64 go语言版本: 1.8.3 问题描述 现有一个tcp客户端程序,需定期从服务器取数据,但由于种种原因(网络不稳定等)需要自动重连。 测试服务器示例代码: /* tcp server for test ...
autosign:可在Golang中执行自动签名
04-29
自动签名可在Golang中执行自动签名Windows上的时间: 300〜ms创建签名文件4〜ms验证签名文件Linux上的时间: 40〜ms创建一个签名文件4〜ms验证签名文件开始使用它下载并安装: $ go get github....
Golang(十一)TLS 相关知识(二)OpenSSL 生成证书
weixin_30301449的博客
09-30 1818
0. 前言 接前一篇文章,上篇文章我们介绍了数字签名、数字证书等基本概念和原理 本篇我们尝试自己生成证书 参考文献:TLS完全指南(二):OpenSSL操作指南 1. OpenSSL 简介 OpenSSL 是一个开源项目,其组成主要包括三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现ssl...
Golang | gRPC】使用openssl生成证书
土豆
07-02 1572
环境: OpenSSL:3.0.4使用 : 将私钥输出到指定文件,如不加则输出到控制台 : 生成2048位的私钥 : 生成加密私钥 1.2 使用RSA私钥生成公钥 : 导入私钥文件 : 输出公钥 : 将输出公钥保存到指定文件里 1.3 查看密钥 1.3.1 查看私钥 1.3.2 查看公钥 2. 证书请求文件 有了私钥后,就可以创建(csr,证书请求文件)。使用私钥对csr进行(签名),同时csr中包含与私钥对应的公钥使用 一般来说,交互时直接敲就行,表示使用默认值;如果想某些字段为空,可以输
golang 公钥转 pem_Linux专题—openssl生成公钥和私钥
weixin_28976179的博客
12-22 743
1. 无加密格式1.1 产生私钥(无加密)$openssl genrsa -out rsa_private_key.pem 10241.2 产生公钥(无加密)$openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem2. 加密方式2.1 生成RSA私钥(使用aes256加密)$openssl genrsa -aes25...
https单向认证双向认证区别
aaaa111111222的博客
03-22 690
关于证书 1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。 2、证书(无客户端服务端之分)保存着ip信息、证书过期时间、证书所有者地址信息等...
https配置、双向验证、go代码实现
sxl47的专栏
07-20 745
##原理 参照这里: 双向认证SSL原理,已经说的很详细了 证书生成 根证书生成 openssl genrsa -out ca.key 2048 #这里可以使用 -subj 不用进行交互 当然还可以添加更多的信息 openssl req -x509 -new -nodes -key ca.key -subj "/CN=test" -days 5000 -out ca.crt 服务端证书生成 openssl genrsa -out server.key 2048 #这里的/cn可以是必须添加的 是服务端的域
SSL双向认证
无奇不有 不置可否的博客
01-13 2066
本文旨在介绍SSL双向认证相关知识,包括TLS协议,单双向流程等等。
golang实现802.1x认证功能peap
05-18
实现802.1x认证功能需要用到golang的网络编程、TLS加密和认证协议等相关知识。下面简单介绍一下使用golang实现peap认证的步骤: 1. 建立TCP连接:使用golang的net包建立与认证服务器的TCP连接。 2. TLS握手:与认证服务器建立TLS握手连接,使用crypto/tls包实现TLS握手。 3. 选择EAP协议:EAP是802.1x认证协议的核心,选择PEAP协议,并在TLS握手后向认证服务器发送EAP-PEAP协议版本号和加密类型等信息。 4. 发送EAP请求:向认证服务器发送EAP请求,并等待EAP响应。 5. 解析EAP响应:根据EAP响应内容进行相应的处理,对于PEAP协议,需要解析EAP-MSCHAPv2协议中的Challenge消息。 6. 发送EAP-MSCHAPv2响应:根据EAP-MSCHAPv2协议规定,向认证服务器发送EAP-MSCHAPv2响应,并等待EAP成功或失败的响应。 7. 认证成功/失败:根据EAP成功或失败的响应进行相应处理,如果认证成功则可以进行后续的操作,否则需要重新进行认证。 以上是一个简单的PEAP认证流程,使用golang可以通过相关库和协议实现。具体实现细节需要根据具体情况进行调整,例如认证服务器地址、端口、证书等信息需要根据实际情况进行设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赴前尘

喜欢我的文章?请我喝杯咖啡吧!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值