tls.go 中文文档
https://studygolang.com/pkgdoc
使用OpenSSL生成证书
Win系统安装openssl
-
安装地址 https://slproweb.com/products/Win32OpenSSL.html
-
设置环境变量
. -
cmd命令检验
openssl version
生成证书
- 生成CA证书和密钥(可选,但推荐用于验证):
openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -subj "/CN=My CA"
- 生成服务器密钥和证书签名请求(CSR):
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr -subj "/CN=localhost"
- 使用CA证书签名服务器CSR以生成服务器证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365
现在你应该有了ca.crt(CA证书),server.crt(服务器证书),和server.key(服务器私钥)。
HTTP情况下的通信
编写服务器代码
package main
import (
"crypto/tls"
"log"
"net/http"
)
const (
CERTFILEPATH = "E:\\Martin_Code\\Go\\src\\lesson-03-tls\\02-myTls\\server.crt"
KEYFILEPATH = "E:\\Martin_Code\\Go\\src\\lesson-03-tls\\02-myTls\\server.key"
)
// handler函数用于处理HTTP请求
func handler(w http.ResponseWriter, r *http.Request) {
w.Write([]byte("Hello, TLS!"))
}
func main() {
// 1. 绑定路径和处理函数
http.HandleFunc("/", handler)
// 2. 服务器 加载证书和私钥
cert, err := tls.LoadX509KeyPair(CERTFILEPATH, KEYFILEPATH)
if err != nil {
log.Fatalf("server: loadkeys: %s", err)
}
// 3. 创建TLS配置,并指定证书和私钥
config := &tls.Config{
Certificates: []tls.Certificate{cert},
}
// 4. 创建HTTP服务器,并设置TLS配置
server := &http.Server{
Addr: ":8443",
Handler: http.DefaultServeMux,
TLSConfig: config,
}
// 5. 启动服务器
log.Println("server: listening")
if err := server.ListenAndServeTLS("", ""); err != nil {
log.Fatalf("server: listen: %s", err)
}
}
编写客户端代码
package main
import (
"crypto/tls"
"crypto/x509"
"io/ioutil"
"log"
"net/http"
"os"
)
const CAFILEPATH = "E:\\Martin_Code\\Go\\src\\lesson-03-tls\\02-myTls\\ca.crt"
func main() {
// 加载CA证书(如果需要验证服务器证书)
caCert, err := os.ReadFile(CAFILEPATH)
if err != nil {
log.Fatalf("client: read ca cert: %s", err)
}
caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM(caCert)
tlsConfig := &tls.Config{
RootCAs: caCertPool, // 如果不需要验证服务器证书,可以省略这一步
InsecureSkipVerify: true, // 禁用证书验证。
}
// 创建自定义的HTTP客户端
client := &http.Client{
Transport: &http.Transport{
TLSClientConfig: tlsConfig,
},
}
resp, err := client.Get("https://localhost:8443")
if err != nil {
log.Fatalf("client: get: %s", err)
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
if err != nil {
log.Fatalf("client: read body: %s", err)
}
log.Printf("client: response: %s", body)
}