Golang学习笔记之HTTPS

作者: 学生黄哲 | 来源:发表于2018-12-22 17:56 被阅读151次
    一:HTTPS介绍

    HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。

    HTTP和HTTPS的区别

    • HTTPS是加密传输协议,HTTP是名文传输协议
    • HTTPS需要用到SSL证书,而HTTP不用
    • HTTPS比HTTP更加安全,对搜索引擎更友好,利于SEO
    • HTTPS标准端口443,HTTP标准端口80
    • HTTPS基于传输层,HTTP基于应用层
    • HTTPS在浏览器显示绿色安全锁,HTTP没有显示

    二、HTTPS证书

    正式发布的时候,是需要购买正规的证书的。测试程序时,如果没有,我们可以使用openssl来生成私人的证书。

    (1)首先我们先生成证书私钥

    openssl genrsa -out server.key 2048

    (2)根据私钥生成公钥

    openssl rsa -in server.key -out server.key.public

    (2)根据私钥生成证书

    openssl req -new -x509 -key server.key -outserver.crt -days 365
    注意以上命令是生成在当前文件夹下的

    三、Golang实现HTTPS程序

    第一个HTTPS程序

    func handler(w http.ResponseWriter, r *http.Request) {
        fmt.Fprintf(w,
            "Hi, This is an example of https service in golang!")
    }
    func main1() {
        http.HandleFunc("/", handler)
        //https监听,必须提供证书文件和对应的私钥文件。
        http.ListenAndServeTLS(":8081", "server.crt",
            "server.key", nil)
    }
    

    浏览器输入 https://127.0.0.1:8081进行测试即可。
    注意浏览器会提示此链接不安全,继续访问即可,因为这个证书使我们自己生成的,并不被浏览器所承认。上面两个文件的路径可以是绝对路径也可以相对,这里在同一文件夹下使用的

    四、访问自己的HTTPS服务端

    go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,因为我们的证书并不是知名CA签发的。所以我们要跳过验证,如下

    func main() {
        //要管理代理、TLS配置、keep-alive、压缩和其他设置,创建一个Transport
        //Client和Transport类型都可以安全的被多个go程同时使用。出于效率考虑,应该一次建立、尽量重用。
        tr := &http.Transport{
            //InsecureSkipVerify用来控制客户端是否证书和服务器主机名。如果设置为true,
            //则不会校验证书以及证书中的主机名和服务器主机名是否一致。
            TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
        }
        client := &http.Client{Transport: tr}
        resp, err := client.Get("https://localhost:8081")
        if err != nil {
            fmt.Println("error:", err)
            return
        }
        defer resp.Body.Close()
        body, err := ioutil.ReadAll(resp.Body)
        fmt.Println(string(body))
    }
    
    五、对服务端证书进行校验

    多数时候,我们需要对服务端的证书进行校验,而不是像上面那样忽略这个校验。

    首先我们来建立我们自己的CA,需要生成一个CA私钥和一个CA的数字证书:
    (1)生成CA私钥

    openssl genrsa -out ca.key 2048

    (2)生成CA证书

    openssl req -x509 -new -nodes -key ca.key -subj "/CN=tonybai.com" -days 5000 -out ca.crt

    接下来,生成server端的私钥,生成数字证书请求,并用我们的ca私钥签发server的数字证书:
    (1)生成服务端私钥

    openssl genrsa -out server.key 2048

    (2)生成证书请求文件

    openssl req -new -key server.key -subj "/CN=localhost" -out server.csr

    (3)根据CA的私钥和上面的证书请求文件生成服务端证书

    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
    client.go

    //客户端对服务器校验
    func main() {
        //CertPool代表一个证书集合/证书池。
        //创建一个CertPool
        pool := x509.NewCertPool()
        caCertPath := "/Users/zt/GOProject/src/https/ca.crt"
        //调用ca.crt文件
        caCrt, err := ioutil.ReadFile(caCertPath)
        if err != nil {
            fmt.Println("ReadFile err:", err)
            return
        }
        //解析证书
        pool.AppendCertsFromPEM(caCrt)
        
        tr := &http.Transport{
            ////把从服务器传过来的非叶子证书,添加到中间证书的池中,使用设置的根证书和中间证书对叶子证书进行验证。
            TLSClientConfig: &tls.Config{RootCAs: pool},
        }
        client := &http.Client{Transport: tr}
        resp, err := client.Get("https://localhost:8081")
        if err != nil {
            fmt.Println("Get error:", err)
            return
        }
        defer resp.Body.Close()
        body, err := ioutil.ReadAll(resp.Body)
        fmt.Println(string(body))
    }
    
    没有写完,突发状况,下周一补上

    相关文章

      网友评论

        本文标题:Golang学习笔记之HTTPS

        本文链接:https://www.haomeiwen.com/subject/qqxwkqtx.html