TLS with Go

最新推荐文章于 2024-06-06 10:04:24 发布
最新推荐文章于 2024-06-06 10:04:24 发布
阅读量2.9k 收藏 3
点赞数 2
分类专栏: golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011228889/article/details/81480171
版权

TLS with Go

原文见:https://ericchiang.github.io/post/go-tls/

虽然之前也接触一些 openssl 的编程,但是对证书颁发,证书链的一些细节依然有些似懂非懂。完成这篇文章之后解决了之前的很多困惑,果然实践动手是加固理论的最好方式。

下面的实践是基于Go的TLS,但是搞懂之后别的语言也一样的。

在阅读本文之前,需要先了解以下知识:
数字签名
证书链

公私钥的加解密

先从最基本的公钥和私钥的加密开始,由私钥加密的数据,只有公钥可以解开。go 的 crypto/rsa 包里直接提供了生成公钥和私钥的方法。

以下是生成一对公钥和私钥,其中公钥存在 privKey.PublicKey 里

// create a public/private keypair
// NOTE: Use crypto/rand not math/rand
privKey, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
    log.Fatalf("generating random key: %v", err)
}

接下来,我们使用生成的公钥对一些数据进行加密

plainText := []byte("hello world")
// use the public key to encrypt the message
cipherText, err := rsa.EncryptPKCS1v15(rand.Reader, &privKey.PublicKey, plainText)
if err != nil {
    log.Fatalf("could not encrypt data: %v", err)
}
log.Printf("%s\n", strconv.Quote(string(cipherText)))

观察输出,加密后的数据已经是不可读的了。接下来,用私钥对加密数据进行解密

decryptedText, err := rsa.DecryptPKCS1v15(nil, privKey, cipherText)
if err != nil {
    log.Fatalf("error decrypting cipher text: %v", err)
}
log.Printf("%s\n", decryptedText)

可以看到,数据被正常的解密之后,就可以看到了明文了。

这是网络中数据安全传输最简单也最基础的一步,通过加密数据,我们可以防止传输过程中数据明文被人获取。

数字签名

公私钥除了加解密之外的另一个应用是,对给定的信息创建一个数字签名。这些签名可以保证被签名文件的有效性,也就是没有被修改过。

具体的做法,首先对传输的信息进行hash运算(这里使用 SHA256),然后用私钥在hash的结果上生成签名。

//对明文进行hash运算
hash := sha256.Sum256(plainText)
fmt.Printf("The hash of my message is: %#x\n", hash)
// The hash of my message is: 0xe6a8502561b8e2328b856b4dbe6a9448d2bf76f02b7820e5d5d4907ed2e6db80

//用私钥在 hash 结果上生成签名
signature, err := rsa.SignPKCS1v15(rand.Reader, privKey, crypto.SHA256, hash[:])
if err != nil {
    log.Fatalf("error creating signature: %v", err)
}

接下来,使用公钥对信息以及该信息对应的签名进行认证,来确认信息没有被伪造被修改。可以看到前2种情况,由于信息和签名都对不上,认证失败。

//用上文生成的公钥对明文和签名进行认证,以确认传输过程中信息没有被修改
verify := func(pub *rsa.PublicKey, msg, signature []byte) error {
    hash := sha256.Sum256(msg)
    return rsa.VerifyPKCS1v15(pub, crypto.SHA256, hash[:], signature)
}

fmt.Println(verify(&privKey.PublicKey, plainText, []byte("a bad signature")))
// crypto/rsa: verification error
fmt.Println(verify(&privKey.PublicKey, []byte("a different plain text"), signature))
// crypto/rsa: verification error
fmt.Println(verify(&privKey.PublicKey, plainText, signature))
// <nil>

因此数字签名可以用于保证我们收到的信息的正确性。

生成自签名证书

crypto/x509 是用来生成数字证书的包。首先,要知道一个证书分为两部分: 公钥+证书持有者信息。

第二部分信息包括序列号,有效期,采用的签名算法等等。我们将这部分信息用通用的函数封装起来,作为一个证书模板。

//证书模板,通过该模板默认设置一些证书需要的字段,比如序列号,组织信息,有效期等等
func CertTemplate() (*x509.Certificate, error) {
    //生成随机的序列号 (不同组织可以有不同的序列号生成方式)
    serialNumberLimit := new(big.Int).Lsh(big.NewInt(1), 128)
最低0.47元/天 解锁文章
CasterOxfd
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Rancher入门到精通-2.0 client‘s certificate: x509: certificate signed by unknown authorit 重新安装就好了
隔壁老瓦的专栏
03-04 7455
error "tls: failed to verify client's certificate: x509: certificate signed by unknown authority (possibly because of \"crypto/rsa: verification error\" while trying to verify candidate authority cert...
kubernetes二进制部署时ca认证排错记录
Focus on k8s and python
12-11 9981
在用二进制部署kubernetes v1.8.3时,遭遇两个ca认证的问题,特记录如下. 1 IP SANs问题 x509: cannot validate certificate for because it doesn't contain any IP SANs 网上搜到的解决办法如下:         修改 /etc/pki/tls/ope
解决:Unable to connect to the server: x509: certificate signed by unknown authority (possibly because
m0_55691056的博客
04-04 3897
运行kubeadm reset清除配置后,对集群初始化也是成功的。然而当运行 kubectl get nodes 时又报错..原因:执行kubeadm reset命令后没有删除创建的.kube目录,重新创建集群就会出现这个问题!
探索 go-tls:Goroutine 中的 TLS 实现
最新发布
gitblog_00089的博客
06-06 326
探索 go-tls:Goroutine 中的 TLS 实现 项目地址:https://gitcode.com/huandu/go-tls 在 Go 语言中,线程局部存储(TLS)的概念通常与操作系统线程相关,但 go-tls 包引入了一种巧妙的方式,使得每个 Goroutine 都能拥有自己的 TLS 数据。这个开源库旨在为 Go 程序提供一种轻量级、易于使用的 TLS 解决方案。 1、项目介绍 ...
tls: failed to verify client's certificate: x509: certificate has expired or is not yet valid
min19900718的博客
08-06 1万+
生成证书后,立即使用,报以上错误,原因是生成证书的机器时间要比服务器时间快,导致服务器验证时,证书超出了时间使用范围。 解决办法: 1、服务器和生成证书机器进行时间同步更新 2、或者直接调整生成证书的机器时间,小于服务器的时间 ...
K8s v1.21.5版本报错Unable to connect to the server: x509: certificate signed by unknown authority
hedao0515的专栏
06-28 762
K8s v1.21.5 版本Unable to connect to the server: x509: certificate signed by unknown authority (possibly because of "crypto/rsa: verification error" while trying to verify candidate authority certificate "kubernetes")
Unable to connect to the server: x509: certificate signed by unknown authority (possibly because of
lcm459633157的博客
02-09 3769
kubectl报错
Network Programming with Go
06-26
Go语言(又称Golang)是一门静态类型的语言,它融合了C语言的简洁性和Python的易读性。其主要特点包括: 1. 并发模型:Go语言的goroutine和channel提供了轻量级线程和通信机制,使得编写高并发程序变得简单。 2. ...
cipherscan:Go 工具来扫描站点以获取支持的 TLS 密码
07-01
Go语言,也称为Golang,是由Google开发的一种静态类型的编译型编程语言。它设计简洁、高效,特别适合编写并发程序和服务端应用。Go语言具有垃圾回收、内存管理、C样式的语法和结构,以及内置的并发原语如goroutines...
certmagic:适用于所有Go程序的自动HTTPS:完全托管的TLS证书发行和更新
02-04
Caddy的自动TLS功能(现在可用于您自己的Go程序)在一个功能强大且易于使用的库中! CertMagic是Go…甚至可能是最成熟,最强大,功能最强大的ACME客户端集成。 使用CertMagic,您可以在Go应用程序中添加一行以...
go-with-tests:基于https的回购
04-07
Go语言,也被称为Golang,是由Google开发的一种静态类型的、编译型的、并发型且具有垃圾回收功能的编程语言。其设计目标是提高系统软件的开发效率和性能,因此它在构建网络服务方面表现出色。 "基于HTTPS的回购"这...
x509: certificate signed by unknown authority (possibly because of “crypto/rsa: verification error“
johnhuster的专栏
10-29 7147
执行下面命令初始化k8s集群时 kubeadm init --pod-network-cidr 10.21.0.0/16 \ --image-repository registry.cn-hangzhou.aliyuncs.com/google_containers 通过 kubectl get pods -n kube-system 查看pods状态 发现coredns对应的pod状态为ContainerCreating, 通过kubectl describe pods -n kube-
[k8s] tls: failed to verify client‘s certificate: x509: certificate has expired or is not yet valid
onlyellow的博客
09-30 6662
29号晚上同事发现部署的API接口服务崩了。同时k8s服务也崩了(我们自己写的API服务调用k8s)。当时就怀疑是k8s崩溃导致API调用失败,然后api报错退出(这里API容错机制也有问题,但不是这篇文章主题)。 第二天来调查k8s问题:执行k8s命令报错 [root@onlyellow2~]# kubectl get pod Unable to connect to the server: x509: certificate has expired or is not yet valid 第一感.
HTTPS双向认证
Starr
02-28 6914
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
使用Go实现TLS 服务器和客户端
dodod2012的专栏
06-16 1697
使用Go实现TLS 服务器和客户端 传输层安全协议(Transport Layer Security,缩写:TLS),及其前身安全套接层(Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 SSL包含记录层(Record Layer)和传输层,记录层协议确定了传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥(Session key)。这个会谈密钥是用来将通信两方
docker容器报x509:certificate signed by unknown authority错误
热门推荐
Canger_的博客
03-30 2万+
解决证书验证的问题,x509:certificate signed by unknown authority 我们在构建 docker 镜像时一般使用的是 linux(centos或者ubuntu等待) 系统,默认是不带 ca-certificates 根证书的,导致无法识别外部 https 携带的数字证书。 如图:所以可能会有以下这个错误。 那么,在访问的时候就会抛出 x509: certificate signed by unknown authority 的错误,导致 docker 容器的接口服务返回
cannot load any more object with static TLS
08-17
在Python项目运行时,你遇到了一个错误消息:“OSError: dlopen: cannot load any more object with static TLS”。这个错误通常在Linux操作系统上发生。这个错误是由于静态TLS加载对象的限制导致的。 静态TLS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值