我想使用 TLS 相互身份验证来对 go 中制作的 API 上的客户端进行身份验证。我已经创建了一个证书颁发机构,假设鲍勃有一个他想要与客户端一起使用的密钥对。 Bob 创建了一个证书请求并希望我验证他的证书以获得授权并
在 API 上进行身份验证。
我用它来创建我的证书颁发机构:
openssl genrsa -aes256 -out ca.key 4096
openssl req -new -x509 -sha256 -days 730 -key ca.key -out ca.crt
Bob 使用它来创建他的证书和证书请求:
openssl genrsa -out bob.key 4096
openssl req -new -key bob.key -out bob.csr
我想实现这一点,但在 go 中:
openssl x509 -req -days 365 -sha256 -in bob.csr -CA ca.crt -CAkey ca.key -set_serial 3 -out bob.crt
现在,通过这些命令,Bob 可以使用以下 tls.Config 创建到我的 API 的 TLS 连接:
func createTLSConfig(certFile string, keyFile string, clientCAFilepath string) (config *tls.Config, err error) {
cer, err := tls.LoadX509KeyPair(certFile, keyFile)
if err != nil {
return nil, err
}
clientCAFile, err := ioutil.ReadFile(clientCAFilepath)
if err != nil {
return nil, err
}
clientCAPool := x509.NewCertPool()
clientCAPool.AppendCertsFromPEM(clientCAFile)
config = &tls.Config{
Certificates: []tls.Certificate{cer},
ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: clientCAPool,
CipherSuites: []uint16{
tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
tls.TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
},
PreferServerCipherSuites: true,
SessionTicketsDisabled: false,
MinVersion: tls.VersionTLS12,
CurvePreferences: []tls.CurveID{tls.CurveP521, tls.CurveP384},
}
return config, nil
}
但是如果 Julia 现在想要登录怎么办?她必须创建一个 CSR,并将其发送给我,我也必须手动将她的 CSR 验证到 CRT。为了避免这种手动操作,我们的想法是拥有一个注册端点,Julia 可以在其中提交 CSR 并取回有效的 CRT。端点基本上如下所示:
func Register(c echo.Context) (err error) {
// get Julia's csr from POST body
csr := certificateFromBody(c.Body)
// valid csr with ca to generate the crt
crt := signCSR(csr, config.ClientCAPath)
// return the crt to julia
return c.JSON(http.StatusCreated, base64.StdEncoding.EncodeToString(crt))
}
我花了一些时间了解openssl如何使用CA从CRS创建CRT,但没有成功。
Golang 有一个证书请求对象 https://golang.org/pkg/crypto/x509/#CertificateRequest来自我可以使用以下命令创建的 crypto/x509 包解析证书请求 https://golang.org/pkg/crypto/x509/#ParseCertificateRequest但我找不到采用该对象和我的 CA 并返回证书的函数。
感谢您的帮助!