Golang项目访问外部接口添加客户端TLS/SSL证书

最新推荐文章于 2024-04-29 11:45:13 发布
最新推荐文章于 2024-04-29 11:45:13 发布
阅读量4.6k 收藏 4
点赞数 4
分类专栏: go 文章标签: golang go https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_24985411/article/details/124351907
版权

前言

在项目中会出现请求外部api的情况,外部api可能会需要持有客户端证书的请求才能通过,本篇文章主要记录Golang项目访问外部api时配置客户端证书的过程

一、证书是什么?

关于证书的概念:ca.crt,client.crt,client.key.unencrypted.pem这几个概念。
1、ca.crt表示证书颁发机构颁发的证书,可以通过openssl x509 -in ca.crt -noout -text查看证书内容
2、client.crt,client.key.unencrypted.pem这两个表示授权给客户端的证书和客户端证书的私钥,因为golang x509无法解析带密码的私钥,所以必须是无密码的,且格式为.pem。LoadX509KeyPair并没有传入密码的选项,只能传入对应的证书和私钥

二、客户端Golang样例代码

	certPool := x509.NewCertPool() // 初始化证书池

	caCrt, err := ioutil.ReadFile("ca/ca.crt") // 读取ca.crt证书内容
	if err != nil {
		log.Fatalln("ca.crt read error:", err)
	}
	certPool.AppendCertsFromPEM(caCrt) // 解析ca证书,并添加到证书池

	// 解析颁发的客户端证书,LoadX509KeyPair由于没有提供解析时传入密码,所以客户端私钥不能有密码,
	// 否则会报错: tls: failed to parse private key
	clientCrt, err := tls.LoadX509KeyPair("ca/client.crt", "ca/key.unencrypted.pem")
	if err != nil {
		log.Fatalln("client.crt LoadX509KeyPair error:", err)
	}

	transport := &http.Transport{
		TLSClientConfig: &tls.Config{
			RootCAs:            certPool,                     // 设置双向认证ca证书
			Certificates:       []tls.Certificate{clientCrt}, // 客户端证书,需要传递给服务端
			InsecureSkipVerify: true,                         // 控制客户端是否验证服务器端的证书链和主机名,如果为true则客户端不验证服务器端的证书链和主机名
		},
	}
	// 如果InsecureSkipVerify为false,则可能会存在一个报错:x509: certificate is not valid for any names, but wanted to match www.api_domain.com
	client := &http.Client{Transport: transport}
	resp, err := client.Get("https:/www.api_domain.com/api/v1/get")

	fmt.Println(resp)

总结

以上就是客户端https访问服务端接口时,配置客户端证书的过程。
注意两个会报错的问题:
1、tls: failed to parse private key
此报错的问题在于,服务端给你的client证书格式不支持。
Golang不支持p12解析,所以需要转换成pem,且无密码。Go提供的tls库中的LoadX509KeyPair并没有传入密码的选项,只能传入对应的证书和私钥。
解决办法为:请求服务端重新打包客户端证书。

2、x509: certificate is not valid for any names, but wanted to match
此报错的问题在于,http.Transport.InsecureSkipVerify设置为false,即客户端验证服务器端的证书链和主机名,导致无法匹配报错,此问题可能是证书有点问题,但是你会发现在postman上访问的话是没问题的,所以InsecureSkipVerify设置为true,不再验证服务端的证书链和主机名即可解决。

有志有识有恒
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在Go的帮助下模仿Node内的TLS / JA3指纹-Golang开发
05-26
在Go myTls的帮助下,在Node内模拟TLS / JA3指纹在Go安装的帮助下,在Node内模拟TLS / JA3指纹。$ npm install mytls用法const initMyTls = require('mytls'); // Typescript:从“ mytls”导入initMyTls; (async()=> {const myTls = await initMyTls(); const response = await myTls('https://ja3er.com/json',{body:'',标头:{'user-agent':'customheaders ',},ja3:'771,255-49195-49199-49196-49200-49171-49172-156-157-47-53,0-10-11-13,23-24,0',});})( ); // => {// =>状态
golang.org/x/sys/windows
07-19
golang.org/x/sys/windows
Go语言中的TLS加密:深入crypto/tls库的实战指南
walkskyer的博客
02-21 1267
在实际应用中,根据具体的安全需求定制TLS配置是非常重要的。例如,您可能需要验证服务端证书的有效性,或者指定特定的密码套件。// 服务端证书验证等配置...在本文中,我们深入探讨了Go语言中crypto/tls库的使用,重点关注了如何在实际开发中利用这一库构建安全的TLS通信。我们从TLS协议的基本概念开始,逐步深入到具体的实现细节,包括服务端和客户端的构建,以及TLS的高级特性和实际应用案例。
Go语言无法读取需要密码访问的PEM文件问题(failed to parse private key
握瑜的专栏
04-03 9798
golang 不支持p12解析,所以需要转换成pem  网上有一些,但都不能实现自动转换(非交互模式)。以下是非交互模式的转换: //生成临时文件cert.pem,注意passin 和 passout 选项 openssl pkcs12 -clcerts -nokeys -out cert.pem -in cert.p12 -passin pass:P12_PASS
Golang Web SSL证书 创建生成 pem x.509
YDOOK
08-08 1504
需要用到的标准库: import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "math/big" "net" "os" "time" ) 示例代码: package main import ( "crypto/rand" "crypto/rsa" "crypt...
使用Go实现TLS 服务器和客户端
wuhuimin521的博客
05-06 3555
使用Go实现TLS 服务器和客户端 传输层安全协议(Transport Layer Security,缩写:TLS),及其前身安全套接层(Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 SSL包含记录层(Record L...
go RSA PKCS8
askyfeng的专栏
06-17 1678
package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "encoding/base64" "encoding/pem" "errors" "fmt" ) var publicKey = []byte(` -----BEGIN PUBLIC KEY----- MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAM8UxlNEntcW3ISGpzCuUFSIu/vkzo36 gDO7ZXri6CpyLwlK.
grpc中TLS认证证书问题
qq_28356505的博客
10-18 7410
grpc TLS证书问题场景:问题:Error 1Error 2解决方法:项目目录:证书生成:1.ca根证书生成:2.server证书生成:服务端与客户端TLS认证:1.服务端:2.客户端: 场景: 参考gorpc实例进行grpc的TLS验证时出现问题,解决办法参考openssl 证书生成笔记(go 1.15版本以上) 问题: Error 1 报错:rpc error: code = Unavailable desc = connection error: desc = “transport: authe
CentOS7变更docker启动项(含改变存储路径和安全信任、国内源等)
yyw794的专栏
05-18 4715
更改docker的默认存储路径是一个典型需求。 google的回复乱七八糟,从里面实践和筛选最佳的答案如下: 编辑 /etc/sysconfig/docker 文件 如果需要改变存储路径,加入 -g ${YOUR_PATH} 如果需要加入不信任的网址访问,加入 –insecure-registry xxx.yyy.com reload 和restart 你的docker即可生效。 注...
HTTPS双向认证
Starr
02-28 6319
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
keystore文件里PrivateKeyEntry错误配置导致TLS连接失败
qingyang0320的专栏
07-12 953
某银行客户的cluster里同时安装了Spectrum Symphony + Spectrum Conductor,属于multihomed模式。这种安装和配置是支持的,详情可以参考IBM文档。出于安全要求,他们在tier 2和tier 3启用了TLS,详情参考IBM文档。结果是,在tier 3一切顺利,访问网页没有问题;但是在tier 2却遇到了问题,报错如下。因为只有tier 2才有问题而tier 3没问题问题,而且tier 2和tier 3的certificate都放在相同的keystore里,所以我
gocert::locked:生成无痛的自签名TLSSSL证书
05-28
一个轻量级的库以及命令行界面,用于使用纯go生成自签名的SSL / TLS证书。 安装 brew install moorara/brew/gocert 对于其他平台,您可以从下载二进制文件。 快速开始 mkdir certs cd certs gocert init gocert ...
sse:服务器发送事件的Golang服务器和客户端
05-06
SSE是Golang服务器发送事件的客户端/服务器实现。 建置状态 掌握: 注意:现在,所有活动开发都在v2分支上进行。 快速开始 要安装版本2: go get github.com/r3labs/sse/v2 去测试: $ make deps $ make test ...
使用golang获取linux上文件的访问/创建/修改时间
09-15
主要介绍了使用golang获取linux上文件的访问/创建/修改时间,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
go的反射操作reflect实践
最新发布
yuxuan89814的专栏
04-29 140
go的反射操作reflect实践
golang学习之旅】Go里面 if 条件判断语句
m0_60511809的博客
04-27 340
Go里面if条件判断语句中**不需要括号**
Go语言的切片(slice)和数组(array)有什么不同?
技术笔记
04-29 918
Go语言的数组和切片各有其优点和适用场景。数组提供了固定大小的序列存储,而切片则提供了更加灵活、动态的序列存储方式。在选择使用数组还是切片时,应根据具体的需求和场景来决定。推荐阅读Golang实战项目分享Golang专栏Go语言异常处理方式。
golang变量常见问题总结
qq_47997583的博客
04-28 839
总结关于golang变量中的常见问题:1. 值类型和引用类型都有哪些;2. 值类型和引用类型的区别;3. 变量是否等于nil;4. 能否进行等值比较;5. 能否不分配内存直接添加元素
golang调用阿里云发短信
hjx_dou的专栏
04-27 299
之前用golang封装的一个发送阿里云短信的工具包,代码如下。
golang tcp tls
05-30
Go语言中提供了标准库中的net包来实现TCP协议的网络编程,同时也提供了crypto/tls包来实现TLS/SSL协议的加密通信。 使用net包实现TCP连接很简单,可以通过net.Dial函数来实现TCP连接。示例代码如下: ``` conn, err := net.Dial("tcp", "127.0.0.1:8080") if err != nil { // handle error } defer conn.Close() // do something with conn ``` 使用crypto/tls包实现TLS连接也很简单,可以通过tls.Dial函数来实现TLS连接。示例代码如下: ``` conn, err := tls.Dial("tcp", "127.0.0.1:8080", &tls.Config{ InsecureSkipVerify: true, }) if err != nil { // handle error } defer conn.Close() // do something with conn ``` 需要注意的是,TLS连接需要提供一个tls.Config对象来配置TLS连接的参数,其中InsecureSkipVerify表示是否跳过证书验证,这里为了方便演示设置为true,生产环境中应该设置为false并提供正确的证书链。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值