如何让Go接受TLS客户端身份验证的自签名证书

我正在使用AWS API网关和Go后端。为了确保所有连接都通过API网关，我需要使用TLS客户端身份验证（即双向身份验证、相互身份验证）。

原则上，这适用于以下内容：

func enableClientAuth(server *http.Server, clientCertFile string) error {
    clientCert, err := ioutil.ReadFile(clientCertFile)
    if err != nil {
        return err
    }
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(clientCert)
    tlsConfig := &tls.Config{
        ClientAuth: tls.RequireAndVerifyClientCert,
        ClientCAs:  caCertPool,
    }
    tlsConfig.BuildNameToCertificate()
    server.TLSConfig = tlsConfig
    return nil
}

我遇到的问题是这个错误：

tls：无法验证客户端的证书：x509:由未知授权机构签署的证书（可能是因为在尝试验证候选授权机构证书"ApiGateway"时"x509:无效签名：父证书无法签署此类证书"）

这似乎是因为客户端证书是自签名的，但不是CA证书，Go不会接受签名。（这不是违背了自签名证书的目的吗？我见过的大多数自签名证书都不是CA证书。）不幸的是，我无法控制客户端证书的生成或发送方式；这一切都是由AWS完成的。我是否可以做些什么来在ClientCA证书池中获取证书，从而使Go接受API网关客户端证书？

示例客户端证书：

@JohnWeldon的评论让我找到了解决方案，那就是我需要在加载客户端证书结构后修改它。这需要解码PEM并解析出证书。对于API网关客户端证书，我必须将BasicConstraintsValid和IsCA设置为true，将KeyUsage设置为KeyUsageCertSign；对于本地生成的证书，我只需要后两个。修改我的问题中的enableClientAuth()函数：

func enableClientAuth(server *http.Server, clientCertFile string) error {
    pemBytes, err := ioutil.ReadFile(clientCertFile)
    if err != nil {
        return err
    }
    pemBlock, _ := pem.Decode(pemBytes)
    clientCert, err := x509.ParseCertificate(pemBlock.Bytes)
    if err != nil {
        return err
    }
    clientCert.BasicConstraintsValid = true
    clientCert.IsCA = true
    clientCert.KeyUsage = x509.KeyUsageCertSign
    caCertPool := x509.NewCertPool()
    caCertPool.AddCert(clientCert)
    tlsConfig := &tls.Config{
        ClientAuth: tls.RequireAndVerifyClientCert,
        ClientCAs:  caCertPool,
    }
    tlsConfig.BuildNameToCertificate()
    server.TLSConfig = tlsConfig
    return nil
}

相关内容

最新更新

热门标签：