添加链接
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书签发涉及到了非对称加密方面的知识,这里介绍使用golang中的x509标准库进行证书自签发,还有证书签发后如何使用golang进行双向认证.

自签发证书

生成根证书

根证书是CA认证中心给自己颁发的证书,是信任链的起始点.这里我们自己做CA使用openssl命令来生成根证书.

首先生成私钥

openssl genrsa -out key.pem 2048

然后根据私钥提取公钥

openssl rsa -in key.pem -pubout -out key.pub

开始生成X509格式的自签名证书,会要求输入区别名DN的各项信息(国家,城市,组织,姓名,email等.

penssl req -x509 -new -days 365 -key rsakey.pem -out cert.crt

到这里根证书就制作好了,下面开始使用golang根据根证书签发下一级证书.

使用golang自签发证书

关于自签发证书的流程,这里做个简单介绍.golang的x509标准库下有个Certificate结构,这个结构就是证书解析后对应的实体.新证书需要先生成秘钥对,然后使用根证书的私钥进行签名.证书和私钥以及公钥这里使用的是pem编码方式.

首先读取根证书的证书和私钥

    //解析根证书
    caFile, err := ioutil.ReadFile(rootCa)
    if err != nil {
        return
    caBlock, _ := pem.Decode(caFile)
    cert, err := x509.ParseCertificate(caBlock.Bytes)
    if err != nil {
        return
    //解析私钥
    keyFile, err := ioutil.ReadFile(rootKey)
    if err != nil {
        return
    keyBlock, _ := pem.Decode(keyFile)
    praKey, err := x509.ParsePKCS1PrivateKey(keyBlock.Bytes)
    if err != nil {
        return

然后需要生成新证书的模板,里面的字段根据自己需求填写,

cer := &x509.Certificate{
        SerialNumber: big.NewInt(rd.Int63()), //证书序列号
        Subject: pkix.Name{
            Country:            []string{"CN"},
            Organization:       []string{"Easy"},
            OrganizationalUnit: []string{"Easy"},
            Province:           []string{"ShenZhen"},
            CommonName:         equi.Code,
            Locality:           []string{"ShenZhen"},
        NotBefore:             time.Now(),                  //证书有效期开始时间
        NotAfter:              time.Now().AddDate(1, 0, 0), //证书有效期结束时间
        BasicConstraintsValid: true,                        //基本的有效性约束
        IsCA:           false,                                                                  //是否是根证书
        ExtKeyUsage:    []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth, x509.ExtKeyUsageServerAuth}, //证书用途(客户端认证,数据加密)
        KeyUsage:       x509.KeyUsageDigitalSignature | x509.KeyUsageDataEncipherment,
        EmailAddresses: []string{"[email protected]"},
        IPAddresses:    []net.IP{net.ParseIP("192.168.1.59")},

当获取到这种信息后就可以签发证书了,key和ca就是签发好的证书和私钥.

    //生成公钥私钥对
    priKey, err := rsa.GenerateKey(rand.Reader, 2048)
    if err != nil {
        return
    ca, err = x509.CreateCertificate(rand.Reader, equiCer, rootCa, &priKey.PublicKey, rootKey)
    if err != nil {
        return
    //编码证书文件和私钥文件
    caPem := &pem.Block{
        Type:  "CERTIFICATE",
        Bytes: ca,
    ca = pem.EncodeToMemory(caPem)
    buf := x509.MarshalPKCS1PrivateKey(priKey)
    keyPem := &pem.Block{
        Type:  "PRIVATE KEY",
        Bytes: buf,
    key = pem.EncodeToMemory(keyPem)

使用golang进行双向认证

    //加载客户端证书
    //这里加载的是服务端签发的
    cert, err := tls.LoadX509KeyPair("client_cert.pem", "client_key.pem")
    if err != nil {
        log.Fatalln(err)
    config := &tls.Config{
        //这里先不验证服务端证书,是自己签发的呀
        InsecureSkipVerify: true,
        Certificates:       []tls.Certificate{cert},
    raddr, err := net.ResolveTCPAddr("tcp", "192.168.1.59:6001")
    if err != nil {
        log.Fatalln(err)
    conn, err := net.DialTCP("tcp", nil, raddr)
    if err != nil {
        log.Fatalln(err)
    tlsConn := tls.Client(conn, config)

tlsConn就和net.Conn一样了,当调用Wirte时就会进行握手,如果服务端证书不符合要求,就会返回错误.

    //这里读取的是根证书
    buf, err := ioutil.ReadFile(d.conf.Tls.CA)
    if err != nil {
        return
    pool := x509.NewCertPool()
    pool.AppendCertsFromPEM(buf)
    //加载服务端证书
    cert, err := tls.LoadX509KeyPair(d.conf.Tls.Cert, d.conf.Tls.Key)
    if err != nil {
        return
    tlsConfig := &tls.Config
        Certificates: []tls.Certificate{cert},
        ClientAuth:   tls.RequireAndVerifyClientCert,
        ClientCAs:    pool,
    //accept到conn后
    tlsConn := tls.Server(conn, tlsConfig)

这个tlsConn和客户端的一样,也可以手动调用Handshake进行握手.

这里只是进行了简单介绍,关于证书的知识还不止这些.比如x509标准库还可以生成签发证书请求,解析证书吊销列表等.多加练习才能对证书方面知识理解更深.

有疑问加站长微信联系(非本文作者)

  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传
  • 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书签发涉及到了非对称加密方面的知识,这里介绍使用golang中的x509标准库进行证书自签发,还有证书签发后如何使用golang进行双向认证.

    自签发证书

    生成根证书

    根证书是CA认证中心给自己颁发的证书,是信任链的起始点.这里我们自己做CA使用openssl命令来生成根证书.

    首先生成私钥

    openssl genrsa -out key.pem 2048

    然后根据私钥提取公钥

    openssl rsa -in key.pem -pubout -out key.pub

    开始生成X509格式的自签名证书,会要求输入区别名DN的各项信息(国家,城市,组织,姓名,email等.

    penssl req -x509 -new -days 365 -key rsakey.pem -out cert.crt

    到这里根证书就制作好了,下面开始使用golang根据根证书签发下一级证书.

    使用golang自签发证书

    关于自签发证书的流程,这里做个简单介绍.golang的x509标准库下有个Certificate结构,这个结构就是证书解析后对应的实体.新证书需要先生成秘钥对,然后使用根证书的私钥进行签名.证书和私钥以及公钥这里使用的是pem编码方式.

    首先读取根证书的证书和私钥

        //解析根证书
        caFile, err := ioutil.ReadFile(rootCa)
        if err != nil {
            return
        caBlock, _ := pem.Decode(caFile)
        cert, err := x509.ParseCertificate(caBlock.Bytes)
        if err != nil {
            return
        //解析私钥
        keyFile, err := ioutil.ReadFile(rootKey)
        if err != nil {
            return
        keyBlock, _ := pem.Decode(keyFile)
        praKey, err := x509.ParsePKCS1PrivateKey(keyBlock.Bytes)
        if err != nil {
            return
    

    然后需要生成新证书的模板,里面的字段根据自己需求填写,

    cer := &x509.Certificate{
            SerialNumber: big.NewInt(rd.Int63()), //证书序列号
            Subject: pkix.Name{
                Country:            []string{"CN"},
                Organization:       []string{"Easy"},
                OrganizationalUnit: []string{"Easy"},
                Province:           []string{"ShenZhen"},
                CommonName:         equi.Code,
                Locality:           []string{"ShenZhen"},
            NotBefore:             time.Now(),                  //证书有效期开始时间
            NotAfter:              time.Now().AddDate(1, 0, 0), //证书有效期结束时间
            BasicConstraintsValid: true,                        //基本的有效性约束
            IsCA:           false,                                                                  //是否是根证书
            ExtKeyUsage:    []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth, x509.ExtKeyUsageServerAuth}, //证书用途(客户端认证,数据加密)
            KeyUsage:       x509.KeyUsageDigitalSignature | x509.KeyUsageDataEncipherment,
            EmailAddresses: []string{"[email protected]"},
            IPAddresses:    []net.IP{net.ParseIP("192.168.1.59")},
    

    当获取到这种信息后就可以签发证书了,key和ca就是签发好的证书和私钥.

        //生成公钥私钥对
        priKey, err := rsa.GenerateKey(rand.Reader, 2048)
        if err != nil {
            return
        ca, err = x509.CreateCertificate(rand.Reader, equiCer, rootCa, &priKey.PublicKey, rootKey)
        if err != nil {
            return
        //编码证书文件和私钥文件
        caPem := &pem.Block{
            Type:  "CERTIFICATE",
            Bytes: ca,
        ca = pem.EncodeToMemory(caPem)
        buf := x509.MarshalPKCS1PrivateKey(priKey)
        keyPem := &pem.Block{
            Type:  "PRIVATE KEY",
            Bytes: buf,
        key = pem.EncodeToMemory(keyPem)

    使用golang进行双向认证

        //加载客户端证书
        //这里加载的是服务端签发的
        cert, err := tls.LoadX509KeyPair("client_cert.pem", "client_key.pem")
        if err != nil {
            log.Fatalln(err)
        config := &tls.Config{
            //这里先不验证服务端证书,是自己签发的呀
            InsecureSkipVerify: true,
            Certificates:       []tls.Certificate{cert},
        raddr, err := net.ResolveTCPAddr("tcp", "192.168.1.59:6001")
        if err != nil {
            log.Fatalln(err)
        conn, err := net.DialTCP("tcp", nil, raddr)
        if err != nil {
            log.Fatalln(err)
        tlsConn := tls.Client(conn, config)

    tlsConn就和net.Conn一样了,当调用Wirte时就会进行握手,如果服务端证书不符合要求,就会返回错误.

        //这里读取的是根证书
        buf, err := ioutil.ReadFile(d.conf.Tls.CA)
        if err != nil {
            return
        pool := x509.NewCertPool()
        pool.AppendCertsFromPEM(buf)
        //加载服务端证书
        cert, err := tls.LoadX509KeyPair(d.conf.Tls.Cert, d.conf.Tls.Key)
        if err != nil {
            return
        tlsConfig := &tls.Config
            Certificates: []tls.Certificate{cert},
            ClientAuth:   tls.RequireAndVerifyClientCert,
            ClientCAs:    pool,
        //accept到conn后
        tlsConn := tls.Server(conn, tlsConfig)
    

    这个tlsConn和客户端的一样,也可以手动调用Handshake进行握手.

    这里只是进行了简单介绍,关于证书的知识还不止这些.比如x509标准库还可以生成签发证书请求,解析证书吊销列表等.多加练习才能对证书方面知识理解更深.

     最高记录 5390 ©2013-2024 studygolang.com Go语言中文网,中国 Golang 社区,致力于构建完善的 Golang 中文社区,Go语言爱好者的学习家园。 Powered by StudyGolang(Golang + MySQL)   · CDN 采用 七牛云 VERSION: V4.0.0 · 6.528272ms · 为了更好的体验,本站推荐使用 Chrome 或 Firefox 浏览器 京ICP备14030343号-1