Golang之双向认证

于 2023-10-26 10:51:24 发布
阅读量361 收藏 1
点赞数 1
分类专栏: Go 加密 文章标签: golang 数据库 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelutai/article/details/134050923
版权
Go 同时被 2 个专栏收录
48 篇文章 2 订阅
订阅专栏
加密
7 篇文章 0 订阅
订阅专栏

此篇文章主要介绍https用Golang生成证书和Golang实现https认证的过程,至于ssl/tls相关的知识点,我在文章末尾会附上我个人觉得对读者有用的文章。

单向验证过程:
客户点包含ca.crt,服务端包含server.key和server.crt;

客户端:客户端生成一个随机数random-client,传到服务器端;

服务端:服务器端接收消息之后,生成一个随机数random-server和包含公钥的证书,一起回馈给客户端;

客户端:客户端收到的东西原封不动,加上premaster secret(通过random-client、random-server 经过一定算法生成的数据),再一次送给服务器端,这次传过去的东西是经过服务端的公钥进行加密后数据;

服务端:服务端经过私钥(server.key),进行解密,获取 premaster secret(协商密钥过程);

此时客户端和服务器端都拥有了三个要素:random-client、random-server和premaster secret,安全通道已经建立,以后的交流都会校检上面的三个要素通过算法算出的session key;而双向认证过程相当于客户端和服务端反过来再执行认证、加解密、协商一遍。

证书生成方式:

  1. openssl工具生成:

第一步,生成ca密钥和ca证书

openssl genrsa -out ca.key 2048

添加 -subj 是为了省去创建请求之后的交互

openssl req -new nodes -key ca.key -subj “//CN=nzh.com” -days 5000 -out ca.crt

第二步,生成server密钥和证书

openssl genrsa -out server.key 2048

//CN必须添加,服务端的域名,或者hosts文件中ip的别名,等同于localhost

openssl req -new -key server.key -subj “//CN=server” -out server.csr

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000

第三步,生成client密钥和证书

openssl genrsa -out client.key 2048

openssl req -new -key server.key -subj “//CN=client” -out client.csr

echo extendedkeyUsage=clientAuth > ./extfile.cnf

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./extfile.cnf -out client.crt -days 5000

  1. Golang代码生成:

第一步,生成证书之前,先构造出证书结构体,并初始化相应的参数;

构造证书请求结构体
第二步,进行证书签名,如果不是CA证书,则加载待签名的证书;

加载待签名证书
第三步,进行证书签名,图中46行和49行主要区别生成CA自签名证书还是生成CA证书签名;

证书签名过程
最后生成证书目录结构如下:

证书目录结构
Golang代码实现双向认证过程:
服务器端:

双向认证过程中,只要结构体实现了ServeHTTP结构就相当于实现一个handler;

加载服务端的公钥和私钥用于解密客户端发送过来的随机字符;

加载CA证书是为了验证客户端的证书是否合格;

服务端代码
客户端:

客户端公钥,私钥和CA证书处理等同于服务端证书处理,然后发送请求,打印返回值;

客户端代码
后续会继续补充curl命令以及整个实现源码。

作者:取个帅气的昵称华华
链接:https://www.jianshu.com/p/14fbf585b0d3
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

一键远控手机电脑
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
golang实现openssl自签名双向认证
赴前尘
03-03 783
golang实现openssl自签名双向认证
golang https的单向认证双向认证
赵凯月的博客
10-30 515
【代码】golang https的单向认证双向认证
go语言实现CA证书双向访问
LiuWei
12-18 1258
package main import ( "crypto/tls" "crypto/x509" "fmt" "io/ioutil" "net/http" ) type MyMux struct { } func (p *MyMux) ServeHTTP(res http.ResponseWriter, req *http.Request) { fmt.Fprintf(res, "Hi, This is an example of https service in golang!\n")
使用Go基于国密算法实现双向认证
TonyBai
07-18 4457
国内做2B(to Biz)或2G(to Gov)产品和解决方案的企业都绕不过国密算法,越来越多的国内甲方在采购需求中包含了基于国密算法的认证、签名、加密等需求。对于国内的车联网平台来说,支持基于国密的双向认证也是大势所趋。在这篇文章中,我就来说说如何基于国密算法实现双向认证,即使用国密算法的安全传输层双向认证。一. 简要回顾基于TLS的双向认证在《Go语言精进之路》[1]...
SSL单双向认证
无奇不有 不置可否的博客
01-13 2001
本文旨在介绍SSL单双向认证相关知识,包括TLS协议,单双向流程等等。
易语言-双向认证防抓包例程
06-28
main.go 是 go 写的 https server, 监听 https://127.0.0.1:8081, 访问成功会返回 "Hi from golang!" https.exe 是用 main.go 编译的应用程序(不放心的可以自己编译) 证书文件介绍: server.key 无密码的服务端私钥 ...
golang grpc demo
11-07
gRPC提供了流式和非流式两种调用方式,同时支持单向和双向流,使得它在处理实时数据流和大规模并发场景下非常高效。此外,gRPC还支持认证和授权机制,保证了服务的安全性。 通过这个golang grpc demo,开发者不仅...
一个golang写的websocket通讯服务器
最新发布
06-11
WebSocket通信协议是现代互联网应用中实现双向实时通信的重要技术,它允许客户端与服务器之间进行持续的、低延迟的数据交换。Golang,作为一种简洁且高效的语言,非常适合构建高性能的WebSocket服务器。下面将详细...
go-使用golang开发的socks5服务.zip
03-04
可以使用`io.Copy`函数进行双向数据传输,同时注意处理错误和断开连接的情况。 Golang的并发模型非常适合处理多个并发连接。`net`库的`Accept`方法可以阻塞地等待新的连接,而`go`关键字可以启动新的goroutine来...
golang长链接应用
02-20
### golang长链接应用知识点详解 #### 背景与需求 **长连接技术**在滴滴打车等实时性要求较高的场景中扮演着至关重要的角色。这类应用的特点是需要进行大量的实时计算,如司机与乘客之间的撮合以及实时计费等操作...
https配置、双向验证、go代码实现
sxl47的专栏
07-20 728
##原理 参照这里: 双向认证SSL原理,已经说的很详细了 证书生成 根证书生成 openssl genrsa -out ca.key 2048 #这里可以使用 -subj 不用进行交互 当然还可以添加更多的信息 openssl req -x509 -new -nodes -key ca.key -subj "/CN=test" -days 5000 -out ca.crt 服务端证书生成 openssl genrsa -out server.key 2048 #这里的/cn可以是必须添加的 是服务端的域
https单向认证双向认证区别
aaaa111111222的博客
03-22 683
关于证书 1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。 2、证书(无客户端服务端之分)保存着ip信息、证书过期时间、证书所有者地址信息等...
Golang 服务器端对客户端的证书进行校验(双向证书校验)
热门推荐
zhengzizhi的专栏
06-25 1万+
服务器端对客户端的证书进行校验(双向证书校验),客户端访问服务器端,必须校验,如果跳过验证,客户端无法成功地建立与服务器之间的连接,也就是您在浏览器地址访问服务器api接口时,会同样象单向校验那样出现“Your connection is not secure”,即使您此时在浏览器页面上选择添加安全异常,也无法建立与服务器连接。
Golang gRPC: 基于CA证书的双向TLS认证
weixin_41335923的博客
04-18 1559
Golang gRPC: 基于CA证书的双向TLS认证
golang加载双向认证加密的证书key文件
XR风云
03-29 4233
证书的key是可以加密保存的,我们需要进行解密加载 func MyLoadX509KeyPair(certFile, keyFile, password string) (tls.Certificate, error) { certPEMByte, err := ioutil.ReadFile(certFile) if err != nil { return tls...
SSL/TLS 单双向认证代码示例
t0m的专栏
12-15 3802
采用SSL/TLS形式的安全链接,能防止数据传输过程中被截获修改等问题。 SSL算法简短说明: 对称加密算法:DES 3DES AES 客户端和服务端使用同一个密钥对消息进行加密解密。 非对称加密算法:RSA, 生成公钥和私钥,采用公钥加密,私钥解密。客户端和服务器端各自持有自己的私钥证书,相互信任对方的证书(证书都导入到了对方的私钥仓库) 速度上,对称加密算法比非对...
Golang | gRPC】使用TLS/SSL认证的gRPC服务
土豆
07-03 1916
环境: Golang: go1.18.2 windows/amd64 grpc: v1.47.0 protobuf: v1.28.0 OpenSSL: 3.0.4完整代码: https://github.com/WanshanTian/GolangLearning cd GolangLearning/RPC/gRPC-cred支持很多认证机制,如:, ,,同时支持以插件的方式使用自定义的认证机制。 本文主要介绍认证机制的使用【Golang | gRPC】使用gRPC实现简单远程调用 实现了无认证的gRPC服
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1630
什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
双向SSL原理与实践
黑白的博客
07-06 4141
稍微懂点HTTPS原理的都知道,TLS提供机密性、完整性、真实性、身份验证…不管是双sp里还是平时的实践中,耳熟能详的就是机密性,用非对称协商会话秘钥,在用会话秘钥加密会话那么真实性和身份验证体现在哪?身份验证,也就是认证,也就是验证你就是你,这里就要看是单向还是双向了。
golang grpc双向认证
07-27
gRPC是一种高性能、开源的远程过程调用(RPC)框架,它使用Protocol Buffers作为接口定义语言(IDL)。双向认证是指在进行gRPC通信时,服务端和客户端都需要进行身份验证。在gRPC中,双向认证可以通过使用TLS/SSL证书来实现。 在gRPC中实现双向认证需要以下步骤: 1. 生成证书:首先,需要生成服务端和客户端的证书。可以使用openssl或其他工具来生成证书和私钥。 2. 配置TLS/SSL:服务端和客户端都需要配置TLS/SSL来启用加密通信。服务端需要加载证书和私钥,而客户端需要加载服务端的证书用于验证服务端身份。 3. 配置双向认证:服务端和客户端都需要配置双向认证。服务端需要验证客户端的证书,而客户端需要验证服务端的证书。 4. 实现认证逻辑:在服务端和客户端的代码中,需要实现证书验证逻辑。可以使用TLS配置中的回调函数来进行验证。 可以参考引用\[2\]中提供的gRPC-Gateway和引用\[3\]中的依赖安装命令来实现gRPC双向认证。这些工具和库可以帮助简化双向认证的实现过程。 总结起来,golang中实现gRPC双向认证的步骤包括生成证书、配置TLS/SSL、配置双向认证和实现认证逻辑。通过这些步骤,可以确保服务端和客户端之间的通信是安全和可信的。 #### 引用[.reference_title] - *1* [Go Grpc Jwt身份认证和Gateway集成以及HTTPS双向认证](https://blog.csdn.net/dz45693/article/details/112180692)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【gRPC】双向认证下grpc-gateway原理及简单使用](https://blog.csdn.net/dl962454/article/details/124384299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值