Question

我正在使用AWS API Gateway和Go back end。为了确保所有连接都通过API网关，我需要使用TLS客户端身份验证（也称为双向身份验证，相互身份验证）。

原则上，这适用于：

func enableClientAuth(server *http.Server, clientCertFile string) error {
    clientCert, err := ioutil.ReadFile(clientCertFile)
    if err != nil {
        return err
    }
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(clientCert)

    tlsConfig := &tls.Config{
        ClientAuth: tls.RequireAndVerifyClientCert,
        ClientCAs:  caCertPool,
    }
    tlsConfig.BuildNameToCertificate()
    server.TLSConfig = tlsConfig
    return nil
}

我遇到的问题是这个错误：

tls：无法验证客户端的证书：x509：由未知权限签署的证书（可能是因为“x509：无效签名：父证书无法签署此类证书”，同时尝试验证候选机构证书“ApiGateway”）

这似乎是因为客户端证书是自签名的，但不是CA证书，Go不接受签名。（这不会破坏自签名证书的目的吗？我见过的大多数自签名证书都不是CA证书。）不幸的是，我无法控制客户端证书的生成或发送方式;这一切都由AWS完成。我可以做些什么来获取ClientCAs证书池中的证书，这将导致Go接受API网关客户端证书？

示例客户端证书：

Answer 1

@ JohnWeldon的评论引导我找到解决方案，即我需要在加载后修改客户端证书结构。这需要解码PEM并解析出证书。对于API网关客户端证书，我必须将BasicConstraintsValid和IsCA设置为true，将KeyUsage设置为KeyUsageCertSign;对于我本地生成的证书，我只需要后两个。在我的问题中修改enableClientAuth() func：

func enableClientAuth(server *http.Server, clientCertFile string) error {
    pemBytes, err := ioutil.ReadFile(clientCertFile)
    if err != nil {
        return err
    }

    pemBlock, _ := pem.Decode(pemBytes)
    clientCert, err := x509.ParseCertificate(pemBlock.Bytes)
    if err != nil {
        return err
    }

    clientCert.BasicConstraintsValid = true
    clientCert.IsCA = true
    clientCert.KeyUsage = x509.KeyUsageCertSign

    caCertPool := x509.NewCertPool()
    caCertPool.AddCert(clientCert)

    tlsConfig := &tls.Config{
        ClientAuth: tls.RequireAndVerifyClientCert,
        ClientCAs:  caCertPool,
    }
    tlsConfig.BuildNameToCertificate()
    server.TLSConfig = tlsConfig
    return nil
}

如何让Go接受TLS客户端身份验证的自签名证书？

1 个答案: