密码技术--证书及go语言生成自签证书

最新推荐文章于 2023-05-17 11:36:59 发布
最新推荐文章于 2023-05-17 11:36:59 发布
阅读量1k 收藏 3
点赞数
分类专栏: 密码学 文章标签: 密码学 ca证书 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38299404/article/details/117341068
版权

证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。

go语言生成自签证书文件(RSA)

package main

import (
	"crypto/rand"
	"crypto/rsa"
	"crypto/x509"
	"crypto/x509/pkix"
	"encoding/pem"
	"fmt"
	"math/big"
	"net"
	"os"
	"time"
)

func GenerateSelfSignedCertKey(keySize int, host string, alternateIPs []net.IP, alternateDNS []string) {
	//1.生成密钥对
	priv, err := rsa.GenerateKey(rand.Reader, keySize)
	if err != nil {
		panic(err)
	}
	//2.创建证书模板
	template := x509.Certificate{
		SerialNumber: big.NewInt(1), //该号码表示CA颁发的唯一序列号,在此使用一个数来代表
		Issuer:       pkix.Name{},
		Subject:      pkix.Name{CommonName: fmt.Sprintf("%s@%d", host, time.Now().Unix())},
		NotBefore:    time.Now(),
		NotAfter:     time.Now().Add(time.Hour * 24 * 365),
		KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign, //表示该证书是用来做服务端认证的
		ExtKeyUsage:  []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
	}

	if ip := net.ParseIP(host); ip != nil {
		template.IPAddresses = append(template.IPAddresses, ip)
	}else {
		template.DNSNames = append(template.DNSNames, host)
	}

	template.IPAddresses = append(template.IPAddresses, alternateIPs...)
	template.DNSNames = append(template.DNSNames, alternateDNS...)

	//3.创建证书,这里第二个参数和第三个参数相同则表示该证书为自签证书,返回值为DER编码的证书
	certificate, err := x509.CreateCertificate(rand.Reader, &template, &template, &priv.PublicKey, priv)
	if err != nil {
		panic(err)
	}
	//4.将得到的证书放入pem.Block结构体中
	block := pem.Block{
		Type:    "CERTIFICATE",
		Headers: nil,
		Bytes:   certificate,
	}
	//5.通过pem编码并写入磁盘文件
	file, err := os.Create("ca.crt")
	if err != nil {
		panic(err)
	}
	defer file.Close()
	pem.Encode(file, &block)

	//6.将私钥中的密钥对放入pem.Block结构体中
	block = pem.Block{
		Type:    "RSA PRIVATE KEY",
		Headers: nil,
		Bytes:   x509.MarshalPKCS1PrivateKey(priv),
	}
	//7.通过pem编码并写入磁盘文件
	file, err = os.Create("ca.key")
	if err != nil {
		panic(err)
	}
	pem.Encode(file, &block)
}

func main(){
	ip := []byte("127.0.0.1")
	alternateDNS := []string{"localhost"}
	GenerateSelfSignedCertKey(2048, "192.168.0.1", []net.IP{net.ParseIP(string(ip))}, alternateDNS)
}

查看证书内容

$ openssl x509 -in ca.crt -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = 192.168.0.1@1622130200
        Validity
            Not Before: May 27 15:43:20 2021 GMT
            Not After : May 27 15:43:20 2022 GMT
        Subject: CN = 192.168.0.1@1622130200
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:b7:24:45:1e:1f:92:a4:19:2e:3b:76:5a:2a:39:
                    b6:e9:b4:a7:6f:fe:a6:a9:dd:e3:da:dd:69:46:16:
                    b8:d9:42:07:11:17:e8:61:b9:a8:54:07:bd:75:a1:
                    b5:78:82:78:48:66:ca:b6:d3:74:27:c4:06:2e:2c:
                    ec:69:bd:c4:2b:b3:79:6a:67:67:80:52:fc:5f:d9:
                    4e:32:fe:66:f7:d3:e1:8a:71:c3:0b:4b:ab:3c:e9:
                    e1:11:4c:7a:5a:b0:ff:87:4b:78:64:e1:ce:60:91:
                    71:aa:c7:d5:4e:4c:13:23:5c:25:f4:7a:aa:57:63:
                    77:ca:67:98:2e:5a:55:03:0d:7d:03:4b:1f:4a:31:
                    7a:fe:a0:16:71:d6:da:06:4e:0b:a8:b2:dd:3e:ee:
                    cc:08:ee:19:de:c3:a7:3b:71:2e:76:c2:40:1c:ba:
                    7c:b8:ed:d3:5e:b6:16:eb:88:56:a3:45:9c:a4:a4:
                    f5:2c:bb:d7:b6:38:34:2e:3d:48:25:ee:4e:ce:6c:
                    9c:ea:7f:fd:32:4f:7a:17:68:06:01:b5:bb:82:08:
                    bd:af:9e:39:fc:ca:4e:8e:15:48:ce:db:f7:72:c8:
                    4a:d9:71:97:27:f8:e7:2d:3a:af:00:0e:26:61:2f:
                    1c:13:27:f1:49:bf:80:b1:b9:41:14:2a:70:9e:32:
                    26:8b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Alternative Name:
                DNS:localhost, IP Address:192.168.0.1, IP Address:127.0.0.1
    Signature Algorithm: sha256WithRSAEncryption
         a6:27:5a:75:9c:b4:b8:1b:9a:f9:fa:96:3e:3d:16:73:93:6d:
         0a:d8:c1:ed:01:0c:09:0a:66:d8:f9:4d:e7:f4:93:ee:5c:c5:
         e2:3c:f5:5d:06:49:50:97:86:4f:fd:c5:f5:da:aa:bd:56:b7:
         0f:84:c3:18:c1:bb:4c:cb:78:14:90:13:2b:58:ae:fa:a9:2e:
         2d:2d:83:f3:24:83:4a:09:54:65:a4:f3:9f:a3:65:ce:43:a0:
         c4:43:f2:aa:7b:f3:f4:92:b0:6b:9b:75:ef:a3:43:cc:3d:51:
         25:ec:ac:ad:b8:65:61:70:5f:c8:b6:4b:57:05:2f:95:71:9c:
         e1:77:92:e1:e9:53:30:67:02:0b:c7:5c:f1:77:57:a7:09:37:
         07:e4:60:0d:f5:62:c3:9d:b6:4f:fc:36:4a:c3:d4:34:9a:60:
         da:9a:fd:dd:c0:3c:fd:cc:1f:06:59:a3:75:97:ad:e0:96:5e:
         39:a0:e9:a2:7b:d5:54:72:e0:54:f5:a3:57:9b:89:0b:0d:a0:
         fc:7c:6b:82:31:77:70:d3:a9:79:ed:db:2e:de:e7:16:a6:93:
         5c:9b:b8:cc:80:5b:d8:21:4a:62:a1:8a:ce:ce:19:86:d0:b3:
         fb:37:d2:74:75:3a:5d:9d:f7:0e:ff:79:0b:ae:9e:c7:df:88:
         f5:6b:b2:ae

go语言生成自签证书文件(ECDSA)

package main

import (
	"crypto/ecdsa"
	"crypto/elliptic"
	"crypto/rand"
	//"crypto/rsa"
	"crypto/x509"
	"crypto/x509/pkix"
	"encoding/pem"
	"fmt"
	"math/big"
	"net"
	"os"
	"time"
)

func GenerateSelfSignedCertKey(keySize int, host string, alternateIPs []net.IP, alternateDNS []string) {
	//1.生成密钥对
	//priv, err := rsa.GenerateKey(rand.Reader, keySize)
	priv, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader)
	if err != nil {
		panic(err)
	}
	//2.创建证书模板
	template := x509.Certificate{
		SerialNumber: big.NewInt(1), //该号码表示CA颁发的唯一序列号,在此使用一个数来代表
		Issuer:       pkix.Name{},
		Subject:      pkix.Name{CommonName: fmt.Sprintf("%s@%d", host, time.Now().Unix())},
		NotBefore:    time.Now(),
		NotAfter:     time.Now().Add(time.Hour * 24 * 365),
		KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign, //表示该证书是用来做服务端认证的
		ExtKeyUsage:  []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
	}

	if ip := net.ParseIP(host); ip != nil {
		template.IPAddresses = append(template.IPAddresses, ip)
	}else {
		template.DNSNames = append(template.DNSNames, host)
	}

	template.IPAddresses = append(template.IPAddresses, alternateIPs...)
	template.DNSNames = append(template.DNSNames, alternateDNS...)

	//3.创建证书,这里第二个参数和第三个参数相同则表示该证书为自签证书,返回值为DER编码的证书
	certificate, err := x509.CreateCertificate(rand.Reader, &template, &template, &priv.PublicKey, priv)
	if err != nil {
		panic(err)
	}
	//4.将得到的证书放入pem.Block结构体中
	block := pem.Block{
		Type:    "CERTIFICATE",
		Headers: nil,
		Bytes:   certificate,
	}
	//5.通过pem编码并写入磁盘文件
	file, err := os.Create("ca.crt")
	if err != nil {
		panic(err)
	}
	defer file.Close()
	pem.Encode(file, &block)

	ecpriv, err := x509.MarshalECPrivateKey(priv)
	if err != nil {
		panic(err)
	}

	//6.将私钥中的密钥对放入pem.Block结构体中
	block = pem.Block{
		Type:    "ECDSA PRIVATE KEY",
		Headers: nil,
		//Bytes:   x509.MarshalPKCS1PrivateKey(priv),
		Bytes: 	 ecpriv,
	}
	//7.通过pem编码并写入磁盘文件
	file, err = os.Create("ca.key")
	if err != nil {
		panic(err)
	}
	pem.Encode(file, &block)
}

func main(){
	ip := []byte("127.0.0.1")
	alternateDNS := []string{"localhost"}
	GenerateSelfSignedCertKey(2048, "192.168.0.1", []net.IP{net.ParseIP(string(ip))}, alternateDNS)
}

查看证书内容

$ openssl x509 -in ca.crt -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: CN = 192.168.0.1@1622131917
        Validity
            Not Before: May 27 16:11:57 2021 GMT
            Not After : May 27 16:11:57 2022 GMT
        Subject: CN = 192.168.0.1@1622131917
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    04:7a:09:2f:ec:6b:5b:ed:c7:cd:c0:09:81:ba:d9:
                    e0:0d:7b:06:95:7d:34:7f:16:8b:57:32:e0:9a:49:
                    2c:fc:27:fe:a6:d2:1d:61:d5:aa:77:bf:77:9d:17:
                    dd:7a:22:9f:72:3a:d7:4d:19:f7:f7:1c:50:dd:e1:
                    2b:4c:7f:df:5e
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment, Certificate Sign
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Alternative Name:
                DNS:localhost, IP Address:192.168.0.1, IP Address:127.0.0.1
    Signature Algorithm: ecdsa-with-SHA256
         30:45:02:20:34:8b:44:79:04:cf:15:bb:33:34:07:61:cc:74:
         b7:27:c5:a6:e9:01:9c:b1:bd:ee:29:52:b5:17:a2:7d:63:e0:
         02:21:00:da:f7:7c:1a:4f:25:d1:c3:b5:19:5d:93:06:fb:8b:
         41:5b:06:c8:6d:93:a0:b8:14:08:6a:90:1f:0b:84:39:d6
Yuan_sr
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go语言生成ssl证书
蛐蛐的博客
08-07 1298
1.简介 使用https协议时一般需要两个文件,cert.pem和key.pem cert.pem文件是SSL证书,而key.pem是私钥 可以使用Go标准库中的crypto包群来生成证书与私钥 2.实现 package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "math/big" "net" "os" "time" ) ..
Go-用于自动获取证书LetsEncryptSSL证书的Golang库
08-14
用于自动获取证书LetsEncrypt SSL证书的Golang库
写给go开发者的gRPC教程-通信安全
kevin_tech的博客,微信搜「网管叨bi叨」
05-17 291
使用 TLS 安全传输数据什么是 SSL/TLSSSL 包含记录层(Record Layer)和传输层[1],记录层协议确定传输层数据的封装格式。传输层安全协议使用X.509[2]认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密匙作为会话密匙(Session key[3])。这个会谈密匙是用来将通信两方交换的资料做加密,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通...
Golang(十一)TLS 相关知识(二)OpenSSL 生成证书
weixin_30301449的博客
09-30 1707
0. 前言 接前一篇文章,上篇文章我们介绍了数字名、数字证书等基本概念和原理 本篇我们尝试自己生成证书 参考文献:TLS完全指南(二):OpenSSL操作指南 1. OpenSSL 简介 OpenSSL 是一个开源项目,其组成主要包括三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl...
【k8s admission 学习】使用 go 语言创建自证书证书
叮当猫的喵i
10-07 1572
在使用openssl创建证书时,遵循的步骤是 创建秘钥 > 创建CA > 生成要颁发证书的秘钥 > 使用CA证书。不管是根证书,中级证书还是终端域名证书,都需要先生成一个私钥,然后通过私钥来获取公钥再进行证书名,OpenSSL 可以通过。这样我们就配置好了三级证书名请求了,这里都是分开写的,大部分代码都是一样的,可以写成一个方法,这里就不扩展了。如上,我们完成了证书生成、存储和读取等能力,证书相关的处理就结束了。,用来区分这是一个根证书,过期时间设置为十年,根证书十年足够了,
GO 1.15 以上版本解决GRPC X509 Common Name field, use SANs or temporarily enable Common Name matching
热门推荐
cuichenghd的专栏
10-22 1万+
这几天在弄GO 语言 然后现在1.15.1版本 ,由于需要用到GRPC 所以就开始写代码 然后就碰到x509: certificate relies on legacy Common Name field 然后发现是GO1.15 X509 被砍了(不能用了) ,需要用到SAN证书,下面就介绍一下SAN证书生成 1:首先你的有OPENSSL,网上下载一个自己安装就可以了, 2:生成普通的key: openssl genrsa -des3 -out server.key 2048 (...
【GO】29.go-gin支持ssl/tls,即https示例
chen_peng7的博客
02-11 3951
通过自制证书支持本地环境https服务正常运行,实现gin框架https双向认证。
gocert::locked:生成无痛的自名TLSSSL证书
05-28
Gocert 如果每次使用openssl生成证书时都遇到openssl ,那么此工具非常适合您! 一个轻量级的库以及命令行界面,用于使用纯go生成名的SSL / TLS证书。 安装 brew install moorara/brew/gocert 对于其他平台,您可以从下载二进制文件。 快速开始 mkdir certs cd certs gocert init gocert root gocert intermediate -name=sre gocert sign -ca=root -name=sre gocert server -name=webapp gocert client -name=myservice gocert sign -ca=sre -name=webapp,myservice gocert verify -ca=root -name=sre goce
go grpc 安全验证openssl 创建SAN证书
Json_Marz的博客
09-02 382
不用下载openssl,使用go语言生成SAN证书,开箱即用。
使用golang生成证书
yevvzi的博客
01-11 4790
在k8s的源码里看的,记录一下 package main import ( "bytes" cryptorand "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "fmt" "math/big" "net" "time" ) func main() { ip := []
Go-具有自动生成证书的单命令SSL反向代理LetsEncrypt自名提供
08-14
Single-command SSL reverse proxy with autogenerated certificates (LetsEncrypt, self-signed, provided)
apg-go:Go用Go语言编写的“自动密码生成器”克隆
04-03
“自动密码生成器”克隆 apg-go是用Go语言编写的简单的类似APG的密码生成器。 它试图复制自2003年以来一直未维护的“ ”的功能。由于越来越多的Unix发行版放弃了该工具,我一直在寻找一种替代方法。 例如,FreeBSD...
go-password:一个Golang库,用于生成类似于1Password或LastPass的高熵随机密码
05-12
Golang密码生成器 该库根据纯Golang中的所描述的要求实现了随机密码生成生成网站密码时通常使用该算法。 该库使用加密/兰德来增加随机性。 此库可能生成的示例密码示例: 0N[k9PhDqmmfaO`p_XHjVv`HTq|zsH4...
protoc-gen-gotag:将自定义结构标添加到protobuf生成的结构
05-10
PGGT是一个protoc插件,用于在生成的protobuf消息上添加/替换struct标。 使用go get github.com/srikrsna/protoc-gen-gotag获取它go get github.com/srikrsna/protoc-gen-gotag / go get github....
piv-go:Go语言编写的YubiKeys的密钥和证书
05-28
该软件包旨在提供: 更好的错误信息惯用Go API 现代功能,例如受PIN保护的管理密钥例子收piv-go软件包可用于生成密钥并将证书存储在YubiKey上。 这使用管理密钥在小程序上生成新密钥,并使用PIN进行名操作。 ...
golang http/https demo
fzzjoy的专栏
03-07 505
golang http https demo
Golang1.7.3使用x509标准库创建自证书发名其他证书
JieLinDee的专栏
11-02 5725
主代码: package rsaimport ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "io/ioutil" "math/big" rd "math/rand" "os" "time" )func init(
golang读取证书中的SubjectAlternativeNames(扩展字段)
csdn闻声即知人的博客
01-24 1690
简述 任务:在实际开发中需要使用golang读取证书中SubjectAlternativeNames字段的内容。标准证书是由ASN1编码生成的,Java可以使用java.security.cert包中的X509Certificate类中getSubjectAlternativeNames()方法来提取这个扩展字段的内容。golang官方库中提供了X509这个包来实现asn1编码,其所对应的证书字段为: // A Certificate represents an X.509 certificate. t
golang解析支付宝公钥证书
qq_37835202的博客
11-07 1107
解析支付宝公钥证书 func GetAlipayPublicKey(certPath string) (publicKey *rsa.PublicKey) { certContent, _ := ioutil.ReadFile(certPath) certDecode, _ := pem.Decode(certContent) x509Cert, err := x509.ParseCerti...
gin-swagger:使用 swagger 2.0 自动生成 restful api 文档的 gin 中间件
最新发布
09-02
gin-swagger是一个使用swagger 2.0来自动生成RESTful API文档的gin中间件。 swagger是一个针对RESTful API的规范和工具,它可以通过Swagger注解来定义API的各种元数据,包括API的路径、请求参数、响应数据等信息。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值