golang实现自动申请lets encrypt证书

最新推荐文章于 2024-05-21 10:06:48 发布
最新推荐文章于 2024-05-21 10:06:48 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 笔记 文章标签: golang 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangge20091126/article/details/128000425
版权

在工作中,有这么一个需求,通过后台管理域名的证书自动申请及续签的功能;
方案有两种:
一种是通过官方的golang.org/x/crypto/acme/autocert包来实现域名的申请及续签,这个不用多说。
另一种是通过lego包来实现,重点说明一下这中方案,只实现了http的挑战,需要在路由中设置挑战路径
我这个Echo的路由

// http域名挑战
	s.e.GET("/.well-known/acme-challenge/:token", func(c echo.Context) error {
		fmt.Println("域名挑战......")
		token := c.Param("token")
		exist, value := cert.NewMemoryProviderServer().GetKeyAuth("", token)
		fmt.Printf("exist:%v, token:%v, value:%v", exist, token, value)
		if !exist {
			return errors.New("挑战失败")
		}
		c.Response().Writer.Write([]byte(value))
		return nil
	}).Name = "域名申请挑战"

接下来是对lego的封装,http-001挑战需要实现Present,CleanUp这两个方法:

var httpData *MemoryProviderServer
var once1 sync.Once

type MemoryProviderServer struct {
	data map[string]string 
	lock sync.Mutex
}

func NewMemoryProviderServer() *MemoryProviderServer {
	once1.Do(func() {
		httpData = &MemoryProviderServer{
			data: map[string]string{},
		}
	})
	return httpData
}

func (s *MemoryProviderServer) Present(domain, token, keyAuth string) error {
	s.lock.Lock()
	fmt.Printf("保存token:%v,value:%v\n", token, keyAuth)
	s.data[token] = keyAuth
	s.lock.Unlock()
	return nil
}

func (s *MemoryProviderServer) CleanUp(domain, token, keyAuth string) error {
	s.lock.Lock()
	delete(s.data, domain+token)
	fmt.Printf("清空token:%v\n", token)
	s.lock.Unlock()
	return nil
}

func (s *MemoryProviderServer) GetKeyAuth(domain, token string) (exist bool, keyAuth string) {
	s.lock.Lock()
	fmt.Printf("domain data:%+v", s.data)
	keyAuth, exist = s.data[token]
	s.lock.Unlock()
	return
}

接下来是lets encrypt账号注册,注同一个ip一定时间内注册账号是有限制的,所以需要将账号信息缓存起来,比如存redis,db等,这里是直接存的数据库,表结构如下:

type LetsEncrypt struct {
	ID           int64  `gorm:"column:id;primaryKey;autoIncrement:true" json:"id"`
	Email        string `gorm:"column:email;type:varchar(191);uniqueIndex:idx_email;not null;default:'';comment:email" json:"email"`
	PrivateKey   string `gorm:"column:private_key;type:text;comment:账号key" json:"privateKey"`
	Registration string `gorm:"column:registration;type:text;comment:lets Encrypt注册信息" json:"registration"`
	CreateAt     int64  `gorm:"column:create_at;not null;autoCreateTime" json:"createAt"`
	UpdateAt     int64  `gorm:"column:update_at;not null;autoUpdateTime" json:"updateAt"`
}

缓存实现:

type DataCache interface {
	SetKey(key crypto.PrivateKey) error
	GetKey() crypto.PrivateKey
	SetRegistration(reg *registration.Resource) error
	GetRegistration() *registration.Resource
	SetEmail(email string) error
}

type DBCache struct {
	Email        string
	Key          crypto.PrivateKey
	Registration *registration.Resource
	Data         *models.LetsEncrypt
}

func (d *DBCache) SetKey(key crypto.PrivateKey) error {
	d.Key = key
	d.Data.PrivateKey = string(certcrypto.PEMEncode(d.Key))
	return d.saveData()
}

func (d *DBCache) GetKey() crypto.PrivateKey {
	return d.Key
}

func (d *DBCache) SetRegistration(reg *registration.Resource) error {
	d.Registration = reg
	marshal, err := json.Marshal(d.Registration)
	if err != nil {
		return err
	}
	d.Data.Registration = string(marshal)
	return d.saveData()
}

func (d *DBCache) GetRegistration() *registration.Resource {
	return d.Registration
}

func (d *DBCache) SetEmail(email string) error {
	d.Email = email
	// 查询数据库是否存在
	var account models.LetsEncrypt
	if err := database.GetGormDb().Where(models.LetsEncrypt{Email: d.Email}).FirstOrCreate(&account).Error; err != nil {
		log.Error(err)
		return err
	}
	d.Data = &account
	// 解析key
	if d.Data.PrivateKey != "" {
		key, err := certcrypto.ParsePEMPrivateKey([]byte(d.Data.PrivateKey))
		if err != nil {
			log.Info("初始化key错误")
			return err
		}
		d.Key = key
	}
	// 解析registration
	if d.Data.Registration != "" {
		var reg registration.Resource
		if err := json.Unmarshal([]byte(d.Data.Registration), &reg); err != nil {
			log.Info("初始化registration错误")
			return err
		}
		d.Registration = &reg
	}
	return nil
}
func (d *DBCache) saveData() error {
	return database.GetGormDb().Save(d.Data).Error
}

最后实现lego的封装

type user struct {
	//	email 邮箱
	email string
	//	registration 表示已在ACME服务器上注册的帐户信息
	registration *registration.Resource
	//	key 表示ECDSA私钥
	key crypto.PrivateKey
}

func (u *user) GetEmail() string {
	return u.email
}
func (u *user) GetRegistration() *registration.Resource {
	return u.registration
}
func (u *user) GetPrivateKey() crypto.PrivateKey {
	return u.key
}

type LetsEncrypt struct {
	User    *user
	Client  *lego.Client
	Cache   DataCache
	Account string
}

var letsEncrypt *LetsEncrypt
var once sync.Once
var defaultEmail = "xxx@163.com"
var dao DataCache

func NewLetsEncrypt(email string) *LetsEncrypt {
	once.Do(func() {
		if email == "" {
			email = defaultEmail
		}
		dao = &DBCache{}
		if err := dao.SetEmail(email); err != nil {
			log.Error(err)
			return
		}
		letsEncrypt = &LetsEncrypt{
			User: &user{
				email: email,
			},
			Cache: dao,
		}

		letsEncrypt.newKey()
		letsEncrypt.newRegistration()
	})
	return letsEncrypt
}

// 生成lets encrypt 注册账号private key
func (l *LetsEncrypt) newKey() {
	if l.Cache.GetKey() != nil {
		l.User.key = l.Cache.GetKey()
		return
	}

	key, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader)
	if err != nil {
		log.Error(err)
	}
	l.User.key = key
	log.Info("设置key缓存")
	if err = l.Cache.SetKey(key); err != nil {
		log.Error(err)
	}
}

// 生成lets encrypt的注册信息
// newClient将会执行2次,第一次用于注册账号信息,第二次解决No key Id in jws的bug,/lego/client.go在45行
//
func (l *LetsEncrypt) newRegistration() {
	var err error
	l.newClient()
	if l.Cache.GetRegistration() != nil {
		l.User.registration = l.Cache.GetRegistration()
		l.newClient()
		return
	}
	reg, err := l.Client.Registration.Register(registration.RegisterOptions{TermsOfServiceAgreed: true})
	if err != nil {
		log.Error(err)
		return
	}
	l.User.registration = reg
	l.newClient()
	// todo 保存信息
	if l.User.registration.Body.Status != "valid" {
		err = errors.New("Returning registration status not valid ")
		return
	}
	log.Info("保存registration")
	if err = l.Cache.SetRegistration(reg); err != nil {
		log.Error(err)
		return
	}
	return
}

const (
	//	CALetsEncryptDebug(默认) Let's Encrypt 测试地址
	CALetsEncryptDebug = "https://acme-staging-v02.api.letsencrypt.org/directory"
	//	CALetsEncrypt Let's Encrypt 正式地址
	CALetsEncrypt = "https://acme-v02.api.letsencrypt.org/directory"
)

func (l *LetsEncrypt) newClient() {
	var err error
	cfg := lego.NewConfig(l.User)
	cfg.CADirURL = CALetsEncrypt
	cfg.Certificate.KeyType = certcrypto.RSA2048
	client, err := lego.NewClient(cfg)
	if err != nil {
		log.Error(err)
		return
	}
	l.Client = client
	return
}
func (l *LetsEncrypt) SetProvider(typ challenge.Type) error {
	var err error
	switch typ {
	case challenge.DNS01:
		err = l.Client.Challenge.SetDNS01Provider(NewDNSProviderBestDNS())
	case challenge.HTTP01:
		err = l.Client.Challenge.SetHTTP01Provider(NewMemoryProviderServer())
	default:
		err = errors.New("Unknown Challenge types ")
	}

	return err
}

func (l *LetsEncrypt) Obtain(domains []string) ([]byte, []byte, error) {
	if len(domains) == 0 {
		return nil, nil, errors.New("the domain cannot be empty")
	}
	var (
		err error
		res *certificate.Resource
	)
	request := certificate.ObtainRequest{
		Domains: domains,
		Bundle:  true,
		//	可以在privateKey参数中提供自己的私钥
	}

	times := 1
	for times > 0 {
		times--
		if res, err = l.Client.Certificate.Obtain(request); err != nil {
			log.Info(err)
			if err = l.SetProvider(challenge.HTTP01); err != nil {
				continue
				//return nil, nil, err
			}
		}
		break
	}

	fmt.Printf("cert:%v,key:%v", string(res.Certificate), string(res.PrivateKey))
	return res.Certificate, res.PrivateKey, err
}

func (l *LetsEncrypt) Renew(ce, privateKey []byte) ([]byte, []byte, error) {
	//	私钥重用的话 privateKey 不为空,反之则重新生成
	var (
		res *certificate.Resource
		err error
	)

	if res, err = l.Client.Certificate.Renew(certificate.Resource{
		PrivateKey:  privateKey,
		Certificate: ce,
	}, true, true, ""); err != nil {
		return nil, nil, err
	}
	return res.Certificate, res.PrivateKey, nil
}

最后使用,c,k就是公钥和私钥

    certService := NewLetsEncrypt("")
	obmains := []string{"xxx.com","xxx2.com"}
	c, k, err := certService.Obtain(obmains);

完成!搞定
就可以把拿到的公钥和私钥去配置https了.

白马啸西施
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-用于自动获取证书LetsEncryptSSL证书Golang
08-14
用于自动获取证书LetsEncrypt SSL证书Golang
用于letencryptgolang autocert库-Golang开发
05-26
_ _ _ ___(_)_ __ ___ _ __ | | ___ ___ ___ _ __ | | _ / __ | | '_`_ \ | '_ \ | | / _ \ / __ / _ \'__ | __ | \ __ \ | | | | | | | _)| | __ /(_ | __ / | | ______ // _ | _ | | _ | | _ | .__ / | _ | \ ___ | \ ___ \ ___ | _ | \ __ | _ _ _ ___(_) _ __ ___ _ __ | | ___ ___ ___ _ __ | | _ / __ | |'_`_ \ |'_ \ | | / _ \ / __ / _ \'__ | __ | \ __ \ | | | | | | | _)| | __ /(_ | __ / | | ______ // _ | _ | | _ | | _ | .__ / | _ | \ ___ | \ ___ \ ___ | _ | \ __ | | _ | Golang自动LetsEncrypt SSL证书自动获取证书,并管理Golan
推荐一款安全的自动SSL证书管理库——`golang.org/x/crypto/acme/autocert`
最新发布
gitblog_00002的博客
05-21 414
推荐一款安全的自动SSL证书管理库——golang.org/x/crypto/acme/autocert 项目地址:https://gitcode.com/rsc/letsencrypt 在现代Web开发中,HTTPS已经成为保证网站数据传输安全性的重要标准。而Let's Encrypt提供的免费SSL证书服务,为开发者提供了极大的便利。然而,手动管理这些证书并非易事,为此,我们推荐一个由Go语言...
Go-通过LetsEncrypt.org自动管理TLS证书
08-14
通过LetsEncrypt.org自动管理TLS证书
:lock:acmetool,用于ACME(让我们加密)的自动证书获取工具-Golang开发
05-26
acmetool是一个易于使用的命令行工具,用于自动从ACME服务器(例如Let's Encrypt)获取证书。 acmetool是一种易于使用的命令行工具,旨在灵活地集成到您的Web服务器设置中以启用自动验证功能,它是一种易于使用的命令行工具,用于自动从ACME服务器获取证书(例如Let's Encrypt)。 旨在灵活地集成到您的Web服务器设置中以启用自动验证。 与官方的“加密”客户端不同,它不会修改您的Web服务器配置。 :check_mark_button:零停机时间自动更新:check_mark_button:支持任何Web服务器:check_mark_button:完全可自动化:check_mark_button:单文件无依赖性二进制文件:check_mark_button:幂等:check_mark_button:快速设置您可以使用po执行验证
Go-LetsProxy-快速获取Let'sEncrypt证书并提供反向代理
08-14
LetsProxy - 快速获取 Let's Encrypt证书并提供反向代理
一行 Golang 代码引发的血案——全网最详细分析 2020 年 3 月 Let’s Encrypt 证书吊销事故...
Go中国
03-19 831
Let's Encrypt 作为一家免费提供 SSL 证书的组织,旨在推进互联网向更安全的 HTTPS 迁移,受到了大量小型网站的支持和认可。然...
go项目运行cannot find parkeg “golang.org/x/crypto/acme/autocert“ in any of:
热门推荐
萝卜砸大坑
11-28 9万+
cannot find parkeg "golang.org/x/crypto/acme/autocert" in any of:
echo安装失败,提示unrecognized import path "golang.org/x/crypto/acme/autocert"?
weixin_30886233的博客
11-26 765
echo安装失败,提示unrecognized import path "golang.org/x/crypto/acme/autocert"? C:\Users\HOORI>go get github.com/labstack/echo package golang.org/x/crypto/acme/autocert: unrecognized import path "gol...
autocertdelegate:通过委派的golang.orgxcryptoacmeautocert服务器获取仅供内部使用的TLS服务器的LetsEncrypt TLS证书
03-21
自动证书委托 什么 内部HTTPS服务器具有有效的TLS证书,而不必大惊小怪。 特别是: 我不想成为自己的CA或将所有设备配置为信任新的根。 我不想使用LetsEncrypt DNS挑战,因为这里有大量的DNS提供程序,并且我不希望API客户端提供大量的DNS提供程序,也不想在任何地方配置机密(或其他任何内容)。 我不想将我的内部服务公开给Internet或处理更新防火墙规则以仅允许LetsEncrypt。 如何 参见 它提供了一个客户端,该客户端可插入http.Server以获取证书,并为进行LetsEncrypt ALPN挑战的面向公众的服务器获取服务器处理程序。然后,您将进行水平分割DNS,以将内部IP提供给内部客户端,并将(代表服务器的)公共IP提供给其他所有人(即,让LetsEncrypt进行ALPN挑战)。 然后内部客户只需向委托服务器索要证书,委托服务器就会对自己进行一点挑战
Go-lego-采用纯Go编写的Let'sEncrypt客户端痛ACME库
08-14
lego - 采用纯Go编写的Let's Encrypt 客户端痛ACME库
acme编辑器GO语言
12-10
学习GO语言专用,首先需要安装GO编译器。
使用Go语言编写的基于ACME的证书颁发机构。-Golang开发
05-26
Boulder-ACME CA这是基于ACME的CA的实现。 ACME协议允许CA自动验证证书申请人实际上控制了标识符,并允许域持有者颁发Boulder-ACME CA这是基于ACME的CA的实现。 ACME协议允许CA自动验证证书申请人实际上控制了标识符,并允许域持有者为其域颁发和撤销证书。 Boulder是运行“让我们加密”的软件。 目录概述设置Boulder开发与Certbot一起使用与另一个ACME客户生产贡献许可证概述Boulder分为以下几类:
让我们加密用Go编写的客户端和ACME库-Golang开发
05-26
lego让我们对Go安装二进制文件中编写的客户端和ACME库进行加密要获取二进制文件,只需从发布页面下载适用于您的OS / Arch的最新版本,然后将二进制文件放在某处即可。lego让我们对Go Go安装二进制文件中编写的客户端和ACME库进行加密二进制文件只需从发行页面下载适用于您的OS / Arch的最新版本,然后将二进制文件放在方便的位置即可。 乐高不假设您从中运行它的任何位置。 从docker docker运行xenolf / lego -h从软件包管理器ArchLinux(AUR):yay -S lego注意:lego团队仅正式支持Arch Linux的软件包管理器。 从来源到insta
乐高:让我们加密用Go编写的客户端和ACME库
02-05
让我们加密用Go编写的客户端和ACME库。 产品特点 ACME v2 在CA注册 从头或通过现有CSR获得证书 续订证书 吊销证书 稳健实施所有ACME挑战 HTTP(http-01) DNS(DNS-01) TLS(tls-alpn-01) SAN证书支持 带有多个可选的 证书捆绑 OCSP辅助功能 lego在引入了对ACME v2的支持。 如果仍然需要使用ACME v1,则可以使用版本。 安装 如何。 用法 作为 作为 文献资料 文档是通过实时托管的。 DNS提供商 详细文档可。
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
- 证书文件存储在 `/etc/letsencrypt/live/your_domain_name` 目录下。 - Nginx 的配置文件会被 certbot 自动重写,并重启 Nginx 服务以启用新的 SSL 证书。 7. **重新获取证书(如有需要):** - 如果需要重新...
开源项目-letsencrypt-boulder.zip
10-18
Boulder是Let's Encrypt实现ACME协议的CA系统,包括证书申请处理、密钥管理、域名验证等一系列功能。 通过这个开源项目,开发者可以深入理解Let's Encrypt的工作原理,学习如何建立自己的自动证书管理系统,或者...
最新版 Let’s Encrypt免费证书申请步骤,保姆级教程
了迹奇有没
12-05 8881
最近将域名迁到了google domain,就研究了一下Let’s Encrypt的域名证书配置。发现网上找到的教程在官方说明中已经废弃,所以自己写一个流程记录一下。
golang实现贪吃蛇
07-29
引用[1]:根据题主的需求构思,实现贪吃蛇的逻辑可以分为以下几个步骤。首先,需要确定游戏元素,包括蛇、墙、食物、分数和基本的提示信息。然后,根据用户故事,实现蛇的移动和交互,包括蛇撞墙死亡、蛇吃食物增加分数和身体长度、通过键盘控制蛇的移动方向以及通过按下esc键退出游戏。最后,需要进行界面初始化和游戏的开始和更新控制。[1] 引用[2]:在具体的实现过程中,可以创建蛇和食物的结构体,并进行初始化。蛇的结构体可以包括长度、坐标和方向等属性。食物的结构体可以包括坐标属性。然后,可以进行界面的初始化,包括游戏界面的显示和食物的初始化。最后,通过控制程序的更新周期来实现游戏的开始和进行。[2] 引用[3]:在使用Golang实现贪吃蛇的过程中,可以借助C语言的控制台程序来实现一些特定的功能,比如移动控制台的光标、获取键盘输入和隐藏控制台光标等。可以创建一个clib包来引入C语言的控制台程序,并在Go中嵌入C语言的函数来调用这些功能。例如,可以使用C.gotoxy函数来设置控制台光标的位置,使用C.direct函数来获取键盘输入的字符,使用C.hideCursor函数来隐藏控制台光标等。[3] 综上所述,可以使用Golang实现贪吃蛇游戏,通过创建蛇和食物的结构体,并进行初始化,然后进行界面的初始化和游戏的开始和更新控制。同时,可以借助C语言的控制台程序来实现一些特定的功能。希望这些信息对你有帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值