Go语言实现HTTPS加密协议-安信
Go语言
Go语言是谷歌推出的一种全新的编程语言,可以在不损失应用程序性能的情况下降低代码的复杂性。Go语言专门针对多处理器系统应用程序的编程进行了优化,使用Go编译的程序可以媲美C或C++代码的速度,而且更加安全、支持并行进程。
HTTPS
HTTPS是在HTTP下加入SSL(Secure Sockets Layer 安全套接层)层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
SSL,及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
客户端CA对其服务端证书进行校验过程如下:
一:对其证书不进行校验
1,简易的https web 服务器
server.go:
package main
import (
“fmt”
“net/http”
)
/*
只要实现了 ServerHTTP方法 便可构建web服务器
*/
func handler(w http.ResponseWriter, r *http.Request) {
fmt.Println(“Hi, This is an example of https service in golang!”)
}
func main() {
http.HandleFunc(“/”, handler) //设置路由及相对应的处理函数 且实现了ServerHTTP方法
http.ListenAndServeTLS(“192.168.20.162:8001”, “server.crt”,
“server.key”, nil) //server.crt:服务端证书 包含服务端公钥信息 server.key:服务端私钥
/*
生成私钥:
openssl genrsa -out server.key 2048
生成证书信息:
openssl req -new -x509 -key server.key -out server.crt -days 365
*/
}
client.go:
package main
import (
“crypto/tls”
“fmt”
“io/ioutil”
“net/http”
)
func main() {
tr := &http.Transport{
TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
}
/*
client与server进行通信时 client也要对server返回数字证书进行校验
因为server自签证书是无效的 为了client与server正常通信
通过设置客户端跳过证书校验
TLSClientConfig:{&tls.Config{InsecureSkipVerify: true}
true:跳过证书校验
*/
client := &http.Client{Transport: tr}
resp, err := client.Get(“https://192.168.20.162:8002”)
if err != nil {
fmt.Println(err)
return
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}
1-1,执行 go run server.go
1-2,浏览器访问 https://192.168.20.162:8001 如下:
1-3,继续点击 添加例外方可继续进行访问
出现这种原因:
浏览器利用自身的CA对服务器返回的 数字证书进行合法性校验时发现 该数字证书是自签证书,对其该证书不信任及认定为无效证书,因而导致无法继续访问
1-4, 执行 go run client.go 便可正常访问服务器(因为此时客户端跳过了证书校验)
二:对其服务端证书进行校验
1,浏览器本身内置了一些有权威的CA(如Symantec、GlobalSign、GDCA)
2,CA证书自身也包含自己的公钥信息,及一些证书的相关信息如该证书是由哪个CA(证书授权机构)颁发的,来自签发机构的签名等
3,客户端对来自服务端证书的校验就是使用CA证书 校验对来自服务端证书的签名是否是 这个CA签的
3-1 CA校验服务端数字证书签名过程:
1,客户端利用自身CA证书中的签名算法对 服务端证书内容部分(C部分)进行相对应的哈希运算得到哈希值(也就是对内容利用自身的哈希算法进行签名)
2,客户端利用得到的哈希值与服务端数字证书的证书签名 进行比较
若相同则服务端证书 便是由该CA颁发的 否则不是该CA颁发的
4,代码如下
首先准备好服务端的私钥及证书 客户端的CA证书
4-1,使用openssl命令生成相关私钥及证书
1,生成 CA 私钥
openssl genrsa -out ca.key 2048
2,生成CA证书
openssl req -x509 -new -nodes -key ca.key -subj “/CN=ca_host” -days 5000 -out ca.crt
CN=ca_host”:设置该证书 由那台服务器生成(若只进行客户端对服务端证书校验 此处可以随便填 不影响)
3,生成服务端私钥
openssl genrsa -out server.key 2048
4,生成服务端证书认证请求
openssl req -new -key server.key -subj “/CN=gc_host” -out server.csr
CN=gc_host:此处必须按真实填写 服务端在哪台服务器设备起着就必须填写哪台设备的主机名
不同的客户端设备在调用时 需在自身设备 /etc/hosts 配置服务器设备ip及主机名
因为客户端在请求url中只识别服务端证书的 CN
证书认证请求并不是证书,需要CA的私钥进行签名之后方是证书
5,生成服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
server.go:
package main
import (
“fmt”
“net/http”
)
func handler(w http.ResponseWriter, r *http.Request) {
fmt.Fprintf(w,
“Hi, This is an example of http service in golang!”)
}
func main() {
http.HandleFunc(“/”, handler)
http.ListenAndServeTLS(“192.168.20.162:8003”,
“server.crt”, “server.key”, nil)
}
client.go:
package main
import (
“crypto/tls”
“crypto/x509”
“fmt”
“io/ioutil”
“net/http”
)
/*
客户端若要对服务端的数字证书进行校验 需发送请求之前 加载CA证书
*/
func main() {
pool := x509.NewCertPool()
caCertPath := “ca.crt”
caCrt, err := ioutil.ReadFile(caCertPath)
if err != nil {
fmt.Println(“ReadFile err:”, err)
return
}
pool.AppendCertsFromPEM(caCrt) //客户端添加ca证书
tr := &http.Transport{
TLSClientConfig: &tls.Config{RootCAs: pool}, //客户端加载ca证书
DisableCompression: true,
}
client := &http.Client{Transport: tr}
resp, err := client.Get(“https://gc_host:8003/”)
if err != nil {
fmt.Println(“Get error:”, err)
return
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}