欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

使用Go實(shí)現(xiàn)TLS服務(wù)器和客戶端的示例

 更新時(shí)間:2021年12月08日 15:07:02   作者:VIL凌霄  
本文主要介紹了Go實(shí)現(xiàn)TLS服務(wù)器和客戶端的示例,文中通過示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下

傳輸層安全協(xié)議(Transport Layer Security,縮寫:TLS),及其前身安全套接層(Secure Sockets Layer,縮寫:SSL)是一種安全協(xié)議,目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障。

SSL包含記錄層(Record Layer)和傳輸層,記錄層協(xié)議確定了傳輸層數(shù)據(jù)的封裝格式。傳輸層安全協(xié)議使用X.509認(rèn)證,之后利用非對(duì)稱加密演算來對(duì)通信方做身份認(rèn)證,之后交換對(duì)稱密鑰作為會(huì)談密鑰(Session key)。這個(gè)會(huì)談密鑰是用來將通信兩方交換的數(shù)據(jù)做加密,保證兩個(gè)應(yīng)用間通信的保密性和可靠性,使客戶與服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽。

本文并沒有提供一個(gè)TLS的深度教程,而是提供了兩個(gè)Go應(yīng)用TLS的簡(jiǎn)單例子,用來演示使用Go語言快速開發(fā)安全網(wǎng)絡(luò)傳輸?shù)某绦颉?/p>

TLS歷史

  • 1994年早期,NetScape公司設(shè)計(jì)了SSL協(xié)議(Secure Sockets Layer)的1.0版,但是未發(fā)布。
  • 1994年11月,NetScape公司發(fā)布SSL 2.0版,很快發(fā)現(xiàn)有嚴(yán)重漏洞。
  • 1996年11月,SSL 3.0版問世,得到大規(guī)模應(yīng)用。
  • 1999年1月,互聯(lián)網(wǎng)標(biāo)準(zhǔn)化組織ISOC接替NetScape公司,發(fā)布了SSL的升級(jí)版TLS 1.0版。
  • 2006年4月和2008年8月,TLS進(jìn)行了兩次升級(jí),分別為TLS 1.1版和TLS 1.2版。最新的變動(dòng)是2011年TLS 1.2的修訂版。

現(xiàn)在正在制定 tls 1.3。

證書生成

首先我們創(chuàng)建私鑰和證書。

服務(wù)器端的證書生成

使用了"服務(wù)端證書"可以確保服務(wù)器不是假冒的。

1、 生成服務(wù)器端的私鑰

openssl genrsa -out server.key 2048

2、 生成服務(wù)器端證書

openssl req -new -x509 -key server.key -out server.pem -days 3650

或者

go run $GOROOT/src/crypto/tls/generate_cert.go --host localhost

客戶端的證書生成

除了"服務(wù)端證書",在某些場(chǎng)合中還會(huì)涉及到"客戶端證書"。所謂的"客戶端證書"就是用來證明客戶端訪問者的身份。
比如在某些金融公司的內(nèi)網(wǎng),你的電腦上必須部署"客戶端證書",才能打開重要服務(wù)器的頁面。
我會(huì)在后面的例子中演示"客戶端證書"的使用。

3、 生成客戶端的私鑰

openssl genrsa -out client.key 2048

4、 生成客戶端的證書

openssl req -new -x509 -key client.key -out client.pem -days 3650

或者使用下面的腳本:

#!/bin/bash
# call this script with an email address (valid or not).
# like:
# ./makecert.sh demo@random.com
mkdir certs
rm certs/*
echo "make server cert"
openssl req -new -nodes -x509 -out certs/server.pem -keyout certs/server.key -days 3650 -subj "/C=DE/ST=NRW/L=Earth/O=Random Company/OU=IT/CN=www.random.com/emailAddress=$1"
echo "make client cert"
openssl req -new -nodes -x509 -out certs/client.pem -keyout certs/client.key -days 3650 -subj "/C=DE/ST=NRW/L=Earth/O=Random Company/OU=IT/CN=www.random.com/emailAddress=$1"

Golang 例子

Go Package tls部分實(shí)現(xiàn)了 tls 1.2的功能,可以滿足我們?nèi)粘5膽?yīng)用。Package crypto/x509提供了證書管理的相關(guān)操作。

服務(wù)器證書的使用

本節(jié)代碼提供了服務(wù)器使用證書的例子。下面的代碼是服務(wù)器的例子:

package main
import (
    "bufio"
    "crypto/tls"
    "log"
    "net"
)
func main() {
    cert, err := tls.LoadX509KeyPair("server.pem", "server.key")
    if err != nil {
        log.Println(err)
        return
    }
    config := &tls.Config{Certificates: []tls.Certificate{cert}}
    ln, err := tls.Listen("tcp", ":443", config)
    if err != nil {
        log.Println(err)
        return
    }
    defer ln.Close()
    for {
        conn, err := ln.Accept()
        if err != nil {
            log.Println(err)
            continue
        }
        go handleConn(conn)
    }
}
func handleConn(conn net.Conn) {
    defer conn.Close()
    r := bufio.NewReader(conn)
    for {
        msg, err := r.ReadString('\n')
        if err != nil {
            log.Println(err)
            return
        }
        println(msg)
        n, err := conn.Write([]byte("world\n"))
        if err != nil {
            log.Println(n, err)
            return
        }
    }
}

首先從上面我們創(chuàng)建的服務(wù)器私鑰和pem文件中得到證書cert,并且生成一個(gè)tls.Config對(duì)象。這個(gè)對(duì)象有多個(gè)字段可以設(shè)置,本例中我們使用它的默認(rèn)值。
然后用tls.Listen開始監(jiān)聽客戶端的連接,accept后得到一個(gè)net.Conn,后續(xù)處理和普通的TCP程序一樣。
然后,我們看看客戶端是如何實(shí)現(xiàn)的:

package main
import (
    "crypto/tls"
    "log"
)
func main() {
    conf := &tls.Config{
        InsecureSkipVerify: true,
    }
    conn, err := tls.Dial("tcp", "127.0.0.1:443", conf)
    if err != nil {
        log.Println(err)
        return
    }
    defer conn.Close()
    n, err := conn.Write([]byte("hello\n"))
    if err != nil {
        log.Println(n, err)
        return
    }
    buf := make([]byte, 100)
    n, err = conn.Read(buf)
    if err != nil {
        log.Println(n, err)
        return
    }
    println(string(buf[:n]))
}

InsecureSkipVerify用來控制客戶端是否證書和服務(wù)器主機(jī)名。如果設(shè)置為true,則不會(huì)校驗(yàn)證書以及證書中的主機(jī)名和服務(wù)器主機(jī)名是否一致。
因?yàn)樵谖覀兊睦又惺褂米院灻淖C書,所以設(shè)置它為true,僅僅用于測(cè)試目的。

可以看到,整個(gè)的程序編寫和普通的TCP程序的編寫差不太多,只不過初始需要做一些TLS的配置。

你可以go run server.go和go run client.go測(cè)試這個(gè)例子。

客戶端證書的使用
在有的情況下,需要雙向認(rèn)證,服務(wù)器也需要驗(yàn)證客戶端的真實(shí)性。在這種情況下,我們需要服務(wù)器和客戶端進(jìn)行一點(diǎn)額外的配置。

服務(wù)器端:

package main
import (
    "bufio"
    "crypto/tls"
    "crypto/x509"
    "io/ioutil"
    "log"
    "net"
)
func main() {
    cert, err := tls.LoadX509KeyPair("server.pem", "server.key")
    if err != nil {
        log.Println(err)
        return
    }
    certBytes, err := ioutil.ReadFile("client.pem")
    if err != nil {
        panic("Unable to read cert.pem")
    }
    clientCertPool := x509.NewCertPool()
    ok := clientCertPool.AppendCertsFromPEM(certBytes)
    if !ok {
        panic("failed to parse root certificate")
    }
    config := &tls.Config{
        Certificates: []tls.Certificate{cert},
        ClientAuth:   tls.RequireAndVerifyClientCert,
        ClientCAs:    clientCertPool,
    }
    ln, err := tls.Listen("tcp", ":443", config)
    if err != nil {
        log.Println(err)
        return
    }
    defer ln.Close()
    for {
        conn, err := ln.Accept()
        if err != nil {
            log.Println(err)
            continue
        }
        go handleConn(conn)
    }
}
func handleConn(conn net.Conn) {
    defer conn.Close()
    r := bufio.NewReader(conn)
    for {
        msg, err := r.ReadString('\n')
        if err != nil {
            log.Println(err)
            return
        }
        println(msg)
        n, err := conn.Write([]byte("world\n"))
        if err != nil {
            log.Println(n, err)
            return
        }
    }
}

因?yàn)樾枰?yàn)證客戶端,我們需要額外配置下面兩個(gè)字段:

ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: clientCertPool,

然后客戶端也配置這個(gè)clientCertPool:

package main
import (
    "crypto/tls"
    "crypto/x509"
    "io/ioutil"
    "log"
)
func main() {
    cert, err := tls.LoadX509KeyPair("client.pem", "client.key")
    if err != nil {
        log.Println(err)
        return
    }
    certBytes, err := ioutil.ReadFile("client.pem")
    if err != nil {
        panic("Unable to read cert.pem")
    }
    clientCertPool := x509.NewCertPool()
    ok := clientCertPool.AppendCertsFromPEM(certBytes)
    if !ok {
        panic("failed to parse root certificate")
    }
    conf := &tls.Config{
        RootCAs:            clientCertPool,
        Certificates:       []tls.Certificate{cert},
        InsecureSkipVerify: true,
    }
    conn, err := tls.Dial("tcp", "127.0.0.1:443", conf)
    if err != nil {
        log.Println(err)
        return
    }
    defer conn.Close()
    n, err := conn.Write([]byte("hello\n"))
    if err != nil {
        log.Println(n, err)
        return
    }
    buf := make([]byte, 100)
    n, err = conn.Read(buf)
    if err != nil {
        log.Println(n, err)
        return
    }
    println(string(buf[:n]))
}

運(yùn)行這兩個(gè)代碼go run server2.go和go run client2.go,可以看到兩者可以正常的通訊,如果用前面的客戶端go run client.go,不能正常通訊,因?yàn)榍懊娴目蛻舳瞬]有提供客戶端證書。

更正 使用自定義的CA的例子可以參考 https://github.com/golang/net/tree/master/http2/h2demo

Make CA:
$ openssl genrsa -out rootCA.key 2048
$ openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
... install that to Firefox
Make cert:
$ openssl genrsa -out server.key 2048
$ openssl req -new -key server.key -out server.csr
$ openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500

到此這篇關(guān)于使用Go實(shí)現(xiàn)TLS服務(wù)器和客戶端的示例的文章就介紹到這了,更多相關(guān)Go TLS服務(wù)器和客戶端內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Go設(shè)計(jì)模式之狀態(tài)模式講解和代碼示例

    Go設(shè)計(jì)模式之狀態(tài)模式講解和代碼示例

    狀態(tài)是一種行為設(shè)計(jì)模式,?讓你能在一個(gè)對(duì)象的內(nèi)部狀態(tài)變化時(shí)改變其行為,該模式將與狀態(tài)相關(guān)的行為抽取到獨(dú)立的狀態(tài)類中,?讓原對(duì)象將工作委派給這些類的實(shí)例,?而不是自行進(jìn)行處理,本文將通過代碼示例給大家簡(jiǎn)單的介紹一下Go狀態(tài)模式
    2023-08-08
  • 淺談golang fasthttp踩坑經(jīng)驗(yàn)

    淺談golang fasthttp踩坑經(jīng)驗(yàn)

    本文主要介紹了golang fasthttp踩坑經(jīng)驗(yàn),文中通過示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2021-11-11
  • Golang實(shí)現(xiàn)按行讀取文件的方法小結(jié)

    Golang實(shí)現(xiàn)按行讀取文件的方法小結(jié)

    按行讀取文件相較于一次性載入,有著很多優(yōu)勢(shì),如內(nèi)存效率高、處理速度快、實(shí)時(shí)性高等,本文主要介紹了Golang按行讀取文件的相關(guān)方法,希望對(duì)大家有所幫助
    2024-02-02
  • Go?select使用與底層原理講解

    Go?select使用與底層原理講解

    這篇文章主要介紹了Go?select使用與底層原理講解,select是Go提供的IO多路復(fù)用機(jī)制,可以用多個(gè)cas同時(shí)監(jiān)聽多個(gè)channl的讀寫狀態(tài),相關(guān)內(nèi)容需要的朋友可以參考一下
    2022-07-07
  • 詳解MongoDB?Go?Driver如何記錄日志

    詳解MongoDB?Go?Driver如何記錄日志

    這篇文章主要為大家介紹了MongoDB?Go?Driver如何記錄日志詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-08-08
  • Go語言中struct的匿名屬性特征實(shí)例分析

    Go語言中struct的匿名屬性特征實(shí)例分析

    這篇文章主要介紹了Go語言中struct的匿名屬性特征,實(shí)例分析了struct的匿名屬性特征,對(duì)于深入學(xué)習(xí)Go語言程序設(shè)計(jì)具有一定參考借鑒價(jià)值,需要的朋友可以參考下
    2015-02-02
  • Golang中使用Date進(jìn)行日期格式化(沿用Java風(fēng)格)

    Golang中使用Date進(jìn)行日期格式化(沿用Java風(fēng)格)

    這篇文章主要介紹了Golang中使用Date進(jìn)行日期格式化,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-04-04
  • Golang實(shí)現(xiàn)AES加密和解密的示例代碼

    Golang實(shí)現(xiàn)AES加密和解密的示例代碼

    AES( advanced encryption standard)使用相同密鑰進(jìn)行加密和解密,也就是對(duì)稱加密。本文將詳細(xì)講解Golang實(shí)現(xiàn)AES加密和解密的方法,感興趣的可以學(xué)習(xí)一下
    2022-05-05
  • Go?分布式鏈路追蹤實(shí)現(xiàn)原理解析

    Go?分布式鏈路追蹤實(shí)現(xiàn)原理解析

    分布式鏈路追蹤作為解決分布式應(yīng)用可觀測(cè)問題的重要技術(shù),愈發(fā)成為分布式應(yīng)用不可缺少的基礎(chǔ)設(shè)施,本文將詳細(xì)介紹分布式鏈路的核心概念、架構(gòu)原理和相關(guān)開源標(biāo)準(zhǔn)協(xié)議,并分享我們?cè)趯?shí)現(xiàn)無侵入 Go 采集 Sdk 方面的一些實(shí)踐,需要的朋友可以參考下
    2022-06-06
  • Golang實(shí)現(xiàn)KV存儲(chǔ)引擎實(shí)例探究

    Golang實(shí)現(xiàn)KV存儲(chǔ)引擎實(shí)例探究

    這篇文章主要為大家介紹了Golang實(shí)現(xiàn)KV存儲(chǔ)引擎實(shí)例探究,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2024-01-01

最新評(píng)論