前言
在项目中会出现请求外部api的情况,外部api可能会需要持有客户端证书的请求才能通过,本篇文章主要记录Golang项目访问外部api时配置客户端证书的过程
一、证书是什么?
关于证书的概念:ca.crt,client.crt,client.key.unencrypted.pem这几个概念。
1、ca.crt表示证书颁发机构颁发的证书,可以通过openssl x509 -in ca.crt -noout -text
查看证书内容
2、client.crt,client.key.unencrypted.pem这两个表示授权给客户端的证书和客户端证书的私钥,因为golang x509无法解析带密码的私钥,所以必须是无密码的,且格式为.pem。LoadX509KeyPair并没有传入密码的选项,只能传入对应的证书和私钥
二、客户端Golang样例代码
certPool := x509.NewCertPool() // 初始化证书池
caCrt, err := ioutil.ReadFile("ca/ca.crt") // 读取ca.crt证书内容
if err != nil {
log.Fatalln("ca.crt read error:", err)
}
certPool.AppendCertsFromPEM(caCrt) // 解析ca证书,并添加到证书池
// 解析颁发的客户端证书,LoadX509KeyPair由于没有提供解析时传入密码,所以客户端私钥不能有密码,
// 否则会报错: tls: failed to parse private key
clientCrt, err := tls.LoadX509KeyPair("ca/client.crt", "ca/key.unencrypted.pem")
if err != nil {
log.Fatalln("client.crt LoadX509KeyPair error:", err)
}
transport := &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: certPool, // 设置双向认证ca证书
Certificates: []tls.Certificate{clientCrt}, // 客户端证书,需要传递给服务端
InsecureSkipVerify: true, // 控制客户端是否验证服务器端的证书链和主机名,如果为true则客户端不验证服务器端的证书链和主机名
},
}
// 如果InsecureSkipVerify为false,则可能会存在一个报错:x509: certificate is not valid for any names, but wanted to match www.api_domain.com
client := &http.Client{Transport: transport}
resp, err := client.Get("https:/www.api_domain.com/api/v1/get")
fmt.Println(resp)
总结
以上就是客户端https访问服务端接口时,配置客户端证书的过程。
注意两个会报错的问题:
1、tls: failed to parse private key
此报错的问题在于,服务端给你的client证书格式不支持。
Golang不支持p12解析,所以需要转换成pem,且无密码。Go提供的tls库中的LoadX509KeyPair并没有传入密码的选项,只能传入对应的证书和私钥。
解决办法为:请求服务端重新打包客户端证书。
2、x509: certificate is not valid for any names, but wanted to match
此报错的问题在于,http.Transport.InsecureSkipVerify设置为false,即客户端验证服务器端的证书链和主机名,导致无法匹配报错,此问题可能是证书有点问题,但是你会发现在postman上访问的话是没问题的,所以InsecureSkipVerify设置为true,不再验证服务端的证书链和主机名即可解决。