Golang程序员Go知识库

Golang学习笔记之HTTPS

2018-12-22  本文已影响151人  学生黄哲
一:HTTPS介绍

HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。

HTTP和HTTPS的区别

• HTTPS是加密传输协议,HTTP是名文传输协议
• HTTPS需要用到SSL证书,而HTTP不用
• HTTPS比HTTP更加安全,对搜索引擎更友好,利于SEO
• HTTPS标准端口443,HTTP标准端口80
• HTTPS基于传输层,HTTP基于应用层
• HTTPS在浏览器显示绿色安全锁,HTTP没有显示

二、HTTPS证书

正式发布的时候,是需要购买正规的证书的。测试程序时,如果没有,我们可以使用openssl来生成私人的证书。

(1)首先我们先生成证书私钥

openssl genrsa -out server.key 2048

(2)根据私钥生成公钥

openssl rsa -in server.key -out server.key.public

(2)根据私钥生成证书

openssl req -new -x509 -key server.key -outserver.crt -days 365
注意以上命令是生成在当前文件夹下的

三、Golang实现HTTPS程序

第一个HTTPS程序

func handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w,
        "Hi, This is an example of https service in golang!")
}
func main1() {
    http.HandleFunc("/", handler)
    //https监听,必须提供证书文件和对应的私钥文件。
    http.ListenAndServeTLS(":8081", "server.crt",
        "server.key", nil)
}

浏览器输入 https://127.0.0.1:8081进行测试即可。
注意浏览器会提示此链接不安全,继续访问即可,因为这个证书使我们自己生成的,并不被浏览器所承认。上面两个文件的路径可以是绝对路径也可以相对,这里在同一文件夹下使用的

四、访问自己的HTTPS服务端

go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,因为我们的证书并不是知名CA签发的。所以我们要跳过验证,如下

func main() {
    //要管理代理、TLS配置、keep-alive、压缩和其他设置,创建一个Transport
    //Client和Transport类型都可以安全的被多个go程同时使用。出于效率考虑,应该一次建立、尽量重用。
    tr := &http.Transport{
        //InsecureSkipVerify用来控制客户端是否证书和服务器主机名。如果设置为true,
        //则不会校验证书以及证书中的主机名和服务器主机名是否一致。
        TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://localhost:8081")
    if err != nil {
        fmt.Println("error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}
五、对服务端证书进行校验

多数时候,我们需要对服务端的证书进行校验,而不是像上面那样忽略这个校验。

首先我们来建立我们自己的CA,需要生成一个CA私钥和一个CA的数字证书:
(1)生成CA私钥

openssl genrsa -out ca.key 2048

(2)生成CA证书

openssl req -x509 -new -nodes -key ca.key -subj "/CN=tonybai.com" -days 5000 -out ca.crt

接下来,生成server端的私钥,生成数字证书请求,并用我们的ca私钥签发server的数字证书:
(1)生成服务端私钥

openssl genrsa -out server.key 2048

(2)生成证书请求文件

openssl req -new -key server.key -subj "/CN=localhost" -out server.csr

(3)根据CA的私钥和上面的证书请求文件生成服务端证书

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
client.go

//客户端对服务器校验
func main() {
    //CertPool代表一个证书集合/证书池。
    //创建一个CertPool
    pool := x509.NewCertPool()
    caCertPath := "/Users/zt/GOProject/src/https/ca.crt"
    //调用ca.crt文件
    caCrt, err := ioutil.ReadFile(caCertPath)
    if err != nil {
        fmt.Println("ReadFile err:", err)
        return
    }
    //解析证书
    pool.AppendCertsFromPEM(caCrt)
    
    tr := &http.Transport{
        ////把从服务器传过来的非叶子证书,添加到中间证书的池中,使用设置的根证书和中间证书对叶子证书进行验证。
        TLSClientConfig: &tls.Config{RootCAs: pool},
    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://localhost:8081")
    if err != nil {
        fmt.Println("Get error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}
没有写完,突发状况,下周一补上
上一篇下一篇

猜你喜欢

热点阅读