一:HTTPS介绍
HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。
HTTP和HTTPS的区别
• HTTPS是加密传输协议,HTTP是名文传输协议
• HTTPS需要用到SSL证书,而HTTP不用
• HTTPS比HTTP更加安全,对搜索引擎更友好,利于SEO
• HTTPS标准端口443,HTTP标准端口80
• HTTPS基于传输层,HTTP基于应用层
• HTTPS在浏览器显示绿色安全锁,HTTP没有显示
二、HTTPS证书
正式发布的时候,是需要购买正规的证书的。测试程序时,如果没有,我们可以使用openssl来生成私人的证书。
(1)首先我们先生成证书私钥
openssl genrsa -out server.key 2048
(2)根据私钥生成公钥
openssl rsa -in server.key -out server.key.public
(2)根据私钥生成证书
openssl req -new -x509 -key server.key -outserver.crt -days 365
注意以上命令是生成在当前文件夹下的
三、Golang实现HTTPS程序
第一个HTTPS程序
func handler(w http.ResponseWriter, r *http.Request) {
fmt.Fprintf(w,
"Hi, This is an example of https service in golang!")
}
func main1() {
http.HandleFunc("/", handler)
//https监听,必须提供证书文件和对应的私钥文件。
http.ListenAndServeTLS(":8081", "server.crt",
"server.key", nil)
}
浏览器输入 https://127.0.0.1:8081进行测试即可。
注意浏览器会提示此链接不安全,继续访问即可,因为这个证书使我们自己生成的,并不被浏览器所承认。上面两个文件的路径可以是绝对路径也可以相对,这里在同一文件夹下使用的
四、访问自己的HTTPS服务端
go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,因为我们的证书并不是知名CA签发的。所以我们要跳过验证,如下
func main() {
//要管理代理、TLS配置、keep-alive、压缩和其他设置,创建一个Transport
//Client和Transport类型都可以安全的被多个go程同时使用。出于效率考虑,应该一次建立、尽量重用。
tr := &http.Transport{
//InsecureSkipVerify用来控制客户端是否证书和服务器主机名。如果设置为true,
//则不会校验证书以及证书中的主机名和服务器主机名是否一致。
TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
}
client := &http.Client{Transport: tr}
resp, err := client.Get("https://localhost:8081")
if err != nil {
fmt.Println("error:", err)
return
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}
五、对服务端证书进行校验
多数时候,我们需要对服务端的证书进行校验,而不是像上面那样忽略这个校验。
首先我们来建立我们自己的CA,需要生成一个CA私钥和一个CA的数字证书:
(1)生成CA私钥
openssl genrsa -out ca.key 2048
(2)生成CA证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=tonybai.com" -days 5000 -out ca.crt
接下来,生成server端的私钥,生成数字证书请求,并用我们的ca私钥签发server的数字证书:
(1)生成服务端私钥
openssl genrsa -out server.key 2048
(2)生成证书请求文件
openssl req -new -key server.key -subj "/CN=localhost" -out server.csr
(3)根据CA的私钥和上面的证书请求文件生成服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
client.go
//客户端对服务器校验
func main() {
//CertPool代表一个证书集合/证书池。
//创建一个CertPool
pool := x509.NewCertPool()
caCertPath := "/Users/zt/GOProject/src/https/ca.crt"
//调用ca.crt文件
caCrt, err := ioutil.ReadFile(caCertPath)
if err != nil {
fmt.Println("ReadFile err:", err)
return
}
//解析证书
pool.AppendCertsFromPEM(caCrt)
tr := &http.Transport{
////把从服务器传过来的非叶子证书,添加到中间证书的池中,使用设置的根证书和中间证书对叶子证书进行验证。
TLSClientConfig: &tls.Config{RootCAs: pool},
}
client := &http.Client{Transport: tr}
resp, err := client.Get("https://localhost:8081")
if err != nil {
fmt.Println("Get error:", err)
return
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}
• Key 是私用密钥openssl,通常是rsa算法
• Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署,还可以设定一个密钥
• crt是CA认证后的证书文,签署人用自己的key给你签署的凭证
六、对客户端证书进行校验
要对客户端数字证书进行校验,首先客户端需要先有自己的证书。
我们以上面的例子为基础,生成客户端的私钥与证书。
(1)生成client私钥
openssl genrsa -out client.key 2048
(2)生成client请求文件
openssl req -new -key client.key -subj "/CN=tonybai_cn" -out client.csr
(3)生成client证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 5000
client.go
type myhandler struct {
}
func (h *myhandler) ServeHTTP(w http.ResponseWriter,
r *http.Request) {
fmt.Fprintf(w,
"Hi, This is an example of http service in golang!\n")
}
func main() {
pool := x509.NewCertPool()
caCertPath := "ca.crt"
caCrt, err := ioutil.ReadFile(caCertPath)
if err != nil {
fmt.Println("ReadFile err:", err)
return
}
pool.AppendCertsFromPEM(caCrt)
s := &http.Server{
Addr: ":8081",
Handler: &myhandler{},
TLSConfig: &tls.Config{
ClientCAs: pool,
ClientAuth: tls.RequireAndVerifyClientCert,
},
}
err = s.ListenAndServeTLS("server.crt", "server.key")
if err != nil {
fmt.Println("ListenAndServeTLS err:", err)
}
}
server.go
func main() {
pool := x509.NewCertPool()
caCertPath := "ca.crt"
caCrt, err := ioutil.ReadFile(caCertPath)
if err != nil {
fmt.Println("ReadFile err:", err)
return
}
pool.AppendCertsFromPEM(caCrt)
cliCrt, err := tls.LoadX509KeyPair("client.crt", "client.key")
if err != nil {
fmt.Println("Loadx509keypair err:", err)
return
}
tr := &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: pool,
Certificates: []tls.Certificate{cliCrt},
},
}
client := &http.Client{Transport: tr}
resp, err := client.Get("https://localhost:8081")
if err != nil {
fmt.Println("Get error:", err)
return
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}