目的
熟悉openssl生成密钥和证书对,熟悉go中crypto/tls的用法
名词解释
PEM - Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头,“—–END…”结尾,内容是BASE64编码.
Apache和*NIX服务器偏向于使用这种编码格式.
查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout
DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
Java和Windows服务器偏向于使用这种编码格式.
查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout
x509
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。
x509证书一般会用到三类文,key,csr,crt。
Key 是私用密钥openssl格式,通常是rsa算法。
Csr 是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署它,还可以设定一个密钥。
crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。
下面是我的实操记录
利用openssl命令行生成密钥和证书
其实我们只需要执行下面的这个命令就可以了生成证书和私钥了
openssl req -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=DE/ST=NRW/L=Earth/O=Random Company/OU=IT/CN=www.random.com/emailAddress=tao_627@aliyun.com"
将代码放到GOPATH下面的工程目录下面
编译
逐个编译得到client和server的可执行文件tls_client和tls_server
go build tls_client.go
go build tls_server.go
运行
在两个终端窗口中分别执行
注意的问题
这里编写client代码时候需要注意:InsecureSkipVerify: true
也就是说上面的代码中客户端不对服务端的证书进行验证。
go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,但客户端提示:这个证书是由不知名CA签发的!
参考文献 [1].https://studygolang.com/articles/10776
熟悉openssl生成密钥和证书对,熟悉go中crypto/tls的用法
名词解释
PEM - Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头,“—–END…”结尾,内容是BASE64编码.
Apache和*NIX服务器偏向于使用这种编码格式.
查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout
DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
Java和Windows服务器偏向于使用这种编码格式.
查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout
x509
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。
x509证书一般会用到三类文,key,csr,crt。
Key 是私用密钥openssl格式,通常是rsa算法。
Csr 是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署它,还可以设定一个密钥。
crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。
下面是我的实操记录
利用openssl命令行生成密钥和证书
其实我们只需要执行下面的这个命令就可以了生成证书和私钥了
openssl req -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=DE/ST=NRW/L=Earth/O=Random Company/OU=IT/CN=www.random.com/emailAddress=tao_627@aliyun.com"
采用下面的命令可以查看PEM格式的证书信息
openssl x509 -in server.pem -text -noout
将代码放到GOPATH下面的工程目录下面
服务器端代码tls_server.go
package main import ( "bufio" "crypto/tls" "log" "net" ) func main() { log.SetFlags(log.Lshortfile) crt,err := tls.LoadX509KeyPair("server.crt","server.key") if err != nil { log.Println(err) return } config := &tls.Config{Certificates: []tls.Certificate{crt}} ln,err := tls.Listen("tcp",":443",config) if err != nil { log.Println(err) return } defer ln.Close() for { conn,err := ln.Accept() if err != nil { log.Println(err) continue } //每个连接对应创建一个协程 go handleConnection(conn) } } //在每个协程中处理接收数据,和发送数据的细节,出现任何错误,立即返回 func handleConnection(conn net.Conn) { defer conn.Close() r := bufio.NewReader(conn) for { msg,err := r.ReadString('\n') if err != nil { log.Println(err) return } println(msg) n,err := conn.Write([]byte("==welcome==\n")) if err != nil { log.Println(n,err) return } } }
客户端代码tls_client.go
package main import ( "crypto/tls" "log" ) func main() { log.SetFlags(log.Lshortfile) conf := &tls.Config{ InsecureSkipVerify: false,} conn,err := tls.Dial("tcp","127.0.0.1:443",conf) if err != nil { log.Println(err) return } defer conn.Close() n,err := conn.Write([]byte("hi,my name is tao_627\n")) if err != nil { log.Println(n,err) return } buf := make([]byte,100) n,err = conn.Read(buf) if err != nil { log.Println(n,err) return } println(string(buf[:n])) }
编译
逐个编译得到client和server的可执行文件tls_client和tls_server
go build tls_client.go
go build tls_server.go
运行
在两个终端窗口中分别执行
sudo ./tls_server
注意的问题
这里编写client代码时候需要注意:InsecureSkipVerify: true
也就是说上面的代码中客户端不对服务端的证书进行验证。
go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,但客户端提示:这个证书是由不知名CA签发的!
参考文献 [1].https://studygolang.com/articles/10776