小贝子编程

带证书,私钥和通过短语的TLS



我正在与为我提供证书的银行服务器集成。我从证书中创建一个pem文件,因此现在我有证书,pem文件中的私有密钥和键的通过短语。

新生成的文件pem正在使用OpenSSL命令进行SSL连接,如下所示:

openssl s_client -connect host:port -key key.pem -cert cert.pem

此命令请求密码,我可以连接。但是我无法使用我的GO代码连接到相同的代码,看起来像这样:

package main
import (
    "crypto/tls"
    "crypto/x509"
    "fmt"
    "net/http"
)
func main() {
    caCert := []byte(`certs pem data`) // this contains both private key and certificates
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(caCert)
    // Setup HTTPS client
    tlsConfig := &tls.Config{
        RootCAs:            caCertPool,
        InsecureSkipVerify: true,
    }
    tlsConfig.BuildNameToCertificate()
    transport := &http.Transport{TLSClientConfig: tlsConfig}
    client := &http.Client{Transport: transport}
    httpRequest, _ := http.NewRequest("GET", "https://test.com", nil)
    resp, err := client.Do(httpRequest)
    fmt.Printf("resp: [%v] n Error: [%v]", resp, err)
}

我也不确定在我的http请求中添加密码。

我遇到的错误: remote error: tls: bad certificate

您似乎使证书授权机构与客户证书混淆。客户端证书向服务器证明您是您说的人(就像用户名和密码一样(,并且使用CAS,以便您知道您正在与正确的服务器交谈。

从适合您的openssl命令来判断,您的银行给了您客户证书和钥匙(尽管这是非常不合同的;除了您自己以外的任何人都不应保留您的私钥,尤其是密码(。

tls.Config.Certificates字段(如果客户端使用(用于配置客户端证书。

证书包含一个或多个证书链,以显示连接的另一侧。[...]进行客户端认证的客户可以设置证书或GetClientCertificate。

TLS的证书通常装有tls.loadx509Keypair或TLS.X509Keypair。但是,这些功能不直接支持加密的键。

相反,您必须自己加载密钥,使用x509.decryptpemblock解密,然后可以使用tls.x509 keypair。

以下示例使用EC密钥,因为它的编码很短,但是与RSA键相同。

package main
import (
    "crypto/tls"
    "crypto/x509"
    "encoding/pem"
    "fmt"
    "log"
    "net/http"
)
var bundle = []byte(`
-----BEGIN EC PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,99586A658F5D2DAC4A8A3CA387CF71CE
25EtKb7ycOI/5R47fYwpiaNERgYnCxCtcrMXJuOgueuxUXjiU0n93hpUpIQqaTLH
dDKhsR1UHvGJVTV4h577RQ+nEJ5z8K5Y9NWFqzfa/Q5SY43kqqoJ/fS/OCnTmH48
z4bL/dJBDE/a5HwJINgqQhGi9iUkCWUiPQxriJQ0i2s=
-----END EC PRIVATE KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
`)
func main() {
    keyBlock, certsPEM := pem.Decode(bundle)
    fmt.Println(x509.IsEncryptedPEMBlock(keyBlock)) // Output: true
    // Decrypt key
    keyDER, err := x509.DecryptPEMBlock(keyBlock, []byte("foobar"))
    if err != nil {
        log.Fatal(err)
    }
    // Update keyBlock with the plaintext bytes and clear the now obsolete
    // headers.
    keyBlock.Bytes = keyDER
    keyBlock.Headers = nil
    // Turn the key back into PEM format so we can leverage tls.X509KeyPair,
    // which will deal with the intricacies of error handling, different key
    // types, certificate chains, etc.
    keyPEM := pem.EncodeToMemory(keyBlock)
    cert, err := tls.X509KeyPair(certsPEM, keyPEM)
    if err != nil {
        log.Fatal(err)
    }
    config := &tls.Config{
        Certificates: []tls.Certificate{cert},
    }
}

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium