我正在创建一个Go TCP服务器(不是http / s),我试图将其配置为使用SSL。我有一个StartCom免费的SSL证书,我试图用来完成这个。我的服务器代码如下所示:
cert, err := tls.LoadX509KeyPair("example.com.pem", "example.com.key")
if err != nil {
fmt.Println("Error loading certificate. ",err)
}
trustCert, err := ioutil.ReadFile("sub.class1.server.ca.pem")
if err != nil {
fmt.Println("Error loading trust certificate. ",err)
}
validationCert, err := ioutil.ReadFile("ca.pem")
if err != nil {
fmt.Println("Error loading validation certificate. ",err)
}
certs := x509.NewCertPool()
if !certs.AppendCertsFromPEM(validationCert) {
fmt.Println("Error installing validation certificate.")
}
if !certs.AppendCertsFromPEM(trustCert) {
fmt.Println("Error installing trust certificate.")
}
sslConfig := tls.Config{RootCAs: certs,Certificates: []tls.Certificate{cert}}
service := ":5555"
tcpAddr, error := net.ResolveTCPAddr("tcp", service)
if error != nil {
fmt.Println("Error: Could not resolve address")
} else {
netListen, error := tls.Listen(tcpAddr.Network(), tcpAddr.String(), &sslConfig)
if error != nil {
fmt.Println(error)
} else {
defer netListen.Close()
for {
fmt.Println("Waiting for clients")
connection, error := netListen.Accept()
我尝试切换证书的顺序,不包括某些证书等,但openssl s_client -CApath /etc/ssl/certs/ -connect localhost:5555的输出基本保持不变,verify error:num=20:unable to get local issuer certificate。有关完整输出,请参阅here。我似乎对中间证书做错了,但我不知道是什么。我已经在这方面工作了几天,大量的谷歌搜索和搜索,但似乎没有什么比我的情况更合适。我已经在Apache和HAProxy中设置了许多证书,但这真让我难过。
答案 0 :(得分:7)
RootCAs字段用于验证服务器证书的客户端。我假设您只想提供验证证书,因此您需要将任何内容加载到Certificates切片中。
这是一个最小的例子:
cert, err := tls.LoadX509KeyPair("example.com.pem", "example.com.key")
if err != nil {
log.Fatal("Error loading certificate. ", err)
}
tlsCfg := &tls.Config{Certificates: []tls.Certificate{cert}}
listener, err := tls.Listen("tcp4", "127.0.0.1:5555", tlsCfg)
if err != nil {
log.Fatal(err)
}
defer listener.Close()
for {
log.Println("Waiting for clients")
conn, err := listener.Accept()
if err != nil {
log.Fatal(err)
}
go handle(conn)
}
即使您不使用HTTPS,从http.ListenAndServeTLS开始逐步完成服务器设置仍然有用。