在 Go 中创建一个带有客户端身份验证的 TLS 测试服务器的方法
来源:stackoverflow
2024-03-06 16:12:24
0浏览
收藏
学习知识要善于思考,思考,再思考!今天golang学习网小编就给大家带来《在 Go 中创建一个带有客户端身份验证的 TLS 测试服务器的方法》,以下内容主要包含等知识点,如果你正在学习或准备学习Golang,就都不要错过本文啦~让我们一起来看看吧,能帮助到你就更好了!
问题内容
我想为 http 处理程序编写一个单元测试,该处理程序从设备的证书中提取某些信息。我找到了这个要点,https://gist.github.com/ncw/9253562,它使用 openssl 生成证书,并简单地读取其 client.go 和 server.go 中的结果文件。不过,为了让事情更加透明,我想使用 go 的标准库生成证书。
这是我迄今为止在单元测试中的尝试(可在 https://github.com/kurtpeek/client-auth-test 获取):
package main
import (
"crypto"
"crypto/rand"
"crypto/rsa"
"crypto/sha1"
"crypto/tls"
"crypto/x509"
"crypto/x509/pkix"
"encoding/asn1"
"encoding/pem"
"io"
"math/big"
"net"
"net/http"
"net/http/httptest"
"testing"
"time"
"github.com/stretchr/testify/assert"
"github.com/stretchr/testify/require"
)
func testdevicefromtls(t *testing.t) {
devicekeypem, csrpem := generatekeyandcsr(t)
cakey, cakeypem := generatekey(t)
cacert, cacertpem := generaterootcert(t, cakey)
devicecertpem := signcsr(t, csrpem, cakey, cacert)
servercert, err := tls.x509keypair(cacertpem, cakeypem)
require.noerror(t, err)
clientpool := x509.newcertpool()
clientpool.addcert(cacert)
ts := httptest.newunstartedserver(http.handlerfunc(func(w http.responsewriter, r *http.request) {
assert.len(t, r.tls.peercertificates, 1)
}))
ts.tls = &tls.config{
certificates: []tls.certificate{servercert},
clientauth: tls.requireandverifyclientcert,
clientcas: clientpool,
}
ts.starttls()
defer ts.close()
devicecert, err := tls.x509keypair(devicecertpem, devicekeypem)
require.noerror(t, err)
pool := x509.newcertpool()
pool.addcert(cacert)
client := ts.client()
client.transport.(*http.transport).tlsclientconfig = &tls.config{
certificates: []tls.certificate{devicecert},
rootcas: pool,
}
req, err := http.newrequest(http.methodput, ts.url, nil)
resp, err := client.do(req)
require.noerror(t, err)
defer resp.body.close()
assert.exactly(t, http.statusok, resp.statuscode)
}
func generatekeyandcsr(t *testing.t) ([]byte, []byte) {
rsakey, err := rsa.generatekey(rand.reader, 1024)
require.noerror(t, err)
key := pem.encodetomemory(&pem.block{
type: "rsa private key",
bytes: x509.marshalpkcs1privatekey(rsakey),
})
template := &x509.certificaterequest{
subject: pkix.name{
country: []string{"us"},
locality: []string{"san francisco"},
organization: []string{"awesomeness, inc."},
province: []string{"california"},
},
signaturealgorithm: x509.sha256withrsa,
ipaddresses: []net.ip{net.parseip("127.0.0.1")},
}
req, err := x509.createcertificaterequest(rand.reader, template, rsakey)
require.noerror(t, err)
csr := pem.encodetomemory(&pem.block{
type: "certificate request",
bytes: req,
})
return key, csr
}
func generaterootcert(t *testing.t, key crypto.signer) (*x509.certificate, []byte) {
subjectkeyidentifier := calculatesubjectkeyidentifier(t, key.public())
template := &x509.certificate{
serialnumber: generateserial(t),
subject: pkix.name{
organization: []string{"awesomeness, inc."},
country: []string{"us"},
locality: []string{"san francisco"},
},
notbefore: time.now(),
notafter: time.now().adddate(10, 0, 0),
subjectkeyid: subjectkeyidentifier,
authoritykeyid: subjectkeyidentifier,
keyusage: x509.keyusagedigitalsignature | x509.keyusagecertsign,
extkeyusage: []x509.extkeyusage{x509.extkeyusageserverauth, x509.extkeyusageclientauth},
basicconstraintsvalid: true,
isca: true,
maxpathlenzero: true,
}
der, err := x509.createcertificate(rand.reader, template, template, key.public(), key)
require.noerror(t, err)
rootcert, err := x509.parsecertificate(der)
require.noerror(t, err)
rootcertpem := pem.encodetomemory(&pem.block{
type: "certificate",
bytes: der,
})
return rootcert, rootcertpem
}
// generateserial generates a serial number using the maximum number of octets (20) allowed by rfc 5280 4.1.2.2
// (adapted from https://github.com/cloudflare/cfssl/blob/828c23c22cbca1f7632b9ba85174aaa26e745340/signer/local/local.go#l407-l418)
func generateserial(t *testing.t) *big.int {
serialnumber := make([]byte, 20)
_, err := io.readfull(rand.reader, serialnumber)
require.noerror(t, err)
return new(big.int).setbytes(serialnumber)
}
// calculatesubjectkeyidentifier implements a common method to generate a key identifier
// from a public key, namely, by composing it from the 160-bit sha-1 hash of the bit string
// of the public key (cf. https://tools.ietf.org/html/rfc5280#section-4.2.1.2).
// (adapted from https://github.com/jsha/minica/blob/master/main.go).
func calculatesubjectkeyidentifier(t *testing.t, pubkey crypto.publickey) []byte {
spkiasn1, err := x509.marshalpkixpublickey(pubkey)
require.noerror(t, err)
var spki struct {
algorithm pkix.algorithmidentifier
subjectpublickey asn1.bitstring
}
_, err = asn1.unmarshal(spkiasn1, &spki)
require.noerror(t, err)
skid := sha1.sum(spki.subjectpublickey.bytes)
return skid[:]
}
// signcsr signs a certificate signing request with the given ca certificate and private key
func signcsr(t *testing.t, csr []byte, cakey crypto.signer, cacert *x509.certificate) []byte {
block, _ := pem.decode(csr)
require.notnil(t, block, "failed to decode csr")
certificaterequest, err := x509.parsecertificaterequest(block.bytes)
require.noerror(t, err)
require.noerror(t, certificaterequest.checksignature())
template := x509.certificate{
subject: certificaterequest.subject,
publickeyalgorithm: certificaterequest.publickeyalgorithm,
publickey: certificaterequest.publickey,
signaturealgorithm: certificaterequest.signaturealgorithm,
signature: certificaterequest.signature,
serialnumber: generateserial(t),
issuer: cacert.issuer,
notbefore: time.now(),
notafter: time.now().adddate(10, 0, 0),
keyusage: x509.keyusagedigitalsignature | x509.keyusagekeyencipherment,
extkeyusage: []x509.extkeyusage{x509.extkeyusageclientauth},
subjectkeyid: calculatesubjectkeyidentifier(t, certificaterequest.publickey),
basicconstraintsvalid: true,
ipaddresses: certificaterequest.ipaddresses,
}
derbytes, err := x509.createcertificate(rand.reader, &template, cacert, certificaterequest.publickey, cakey)
require.noerror(t, err)
return pem.encodetomemory(&pem.block{type: "certificate", bytes: derbytes})
}
// generatekey generates a 1024-bit rsa private key
func generatekey(t *testing.t) (crypto.signer, []byte) {
key, err := rsa.generatekey(rand.reader, 1024)
require.noerror(t, err)
keypem := pem.encodetomemory(&pem.block{
type: "rsa private key",
bytes: x509.marshalpkcs1privatekey(key),
})
return key, keypem
}
但是,当我运行它时,出现以下错误:
> go test ./...
2020/04/06 15:12:30 http: TLS handshake error from 127.0.0.1:58685: remote error: tls: bad certificate
--- FAIL: TestDeviceFromTLS (0.05s)
main_test.go:64:
Error Trace: main_test.go:64
Error: Received unexpected error:
Put https://127.0.0.1:58684: x509: cannot validate certificate for 127.0.0.1 because it doesn't contain any IP SANs
Test: TestDeviceFromTLS
FAIL
FAIL github.com/kurtpeek/client-auth-test 0.379s
我不太确定错误消息的含义
无法验证 127.0.0.1 的证书,因为它不包含任何 ip san
因为我在创建证书时传入了 ipaddresses 字段。关于这里出了什么问题有什么想法吗?
解决方案
我不太确定错误消息的含义
无法验证 127.0.0.1 的证书,因为它不包含 任何 ip san
因为我在传递 ipaddresses 字段时 创建证书。关于这里出了什么问题有什么想法吗?
问题在于,您在创建客户端证书时传入了 ipaddresses 字段,但在创建服务器证书时则没有传入,因为您的服务器只是使用 ca 证书作为自己的证书,并且 ca 证书(正确地)不包含 ip 地址,因此错误消息是正确的:
caKey, caKeyPEM := generateKey(t) caCert, caCertPEM := generateRootCert(t, caKey) serverCert, err := tls.X509KeyPair(caCertPEM, caKeyPEM)
您应该以与创建客户端证书相同的方式创建由 ca(或a ca)签名的服务器证书,并将其用于测试服务器。
一般来说,以您现在的方式让单个密钥作为 ca 和 tls 服务器执行双重职责是自找麻烦,而且没有充分的理由在这里这样做;虽然 rfc5280 实际上并没有禁止这种做法,但至少看起来不鼓励这种做法,除非特殊情况需要。
但就目前情况而言,您使用 ca 证书的方式在技术上不符合 rfc5280,因为它包含仅指定 tls 客户端和服务器身份验证的扩展密钥使用扩展,但您使用它来签署证书。这可能是宽容的,但在缺少 anyextendedkeyusage 关键用途 x509.createcertificate 的情况下,这里确实应该失败。
该错误与 x509 证书中存在的 san 字段扩展有关。 x509 证书中的 san 字段可以包含以下类型的条目;
- dns 名称
- ip 地址
- uri
详情可拨打here
通常在证书验证过程中,可以在某些系统上执行 san 扩展验证。因此你会看到这样的错误消息
您有两种选择来避免此错误消息,
- 在您的证书中添加 san ip 字段
- 跳过证书验证步骤 [这是您通过注释掉所做的事情]
文中关于的知识介绍,希望对你的学习有所帮助!若是受益匪浅,那就动动鼠标收藏这篇《在 Go 中创建一个带有客户端身份验证的 TLS 测试服务器的方法》文章吧,也可关注golang学习网公众号了解相关技术文章。
版本声明
本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
PHP中高效查询子分类的方法汇总
- 上一篇
- PHP中高效查询子分类的方法汇总
- 下一篇
- 校验代理和数据库操作指南
查看更多
最新文章
-
- Golang · Go问答 | 1年前 |
- 在读取缓冲通道中的内容之前退出
- 139浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 戈兰岛的全球 GOPRIVATE 设置
- 204浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 如何将结构作为参数传递给 xml-rpc
- 325浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 如何用golang获得小数点以下两位长度?
- 478浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 如何通过 client-go 和 golang 检索 Kubernetes 指标
- 486浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 将多个“参数”映射到单个可变参数的习惯用法
- 439浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 将 HTTP 响应正文写入文件后出现 EOF 错误
- 357浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 结构中映射的匿名列表的“复合文字中缺少类型”
- 352浏览 收藏
-
- Golang · Go问答 | 1年前 |
- NATS Jetstream 的性能
- 101浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 如何将复杂的字符串输入转换为mapstring?
- 440浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 相当于GoLang中Java将Object作为方法参数传递
- 212浏览 收藏
-
- Golang · Go问答 | 1年前 |
- 如何确保所有 goroutine 在没有 time.Sleep 的情况下终止?
- 143浏览 收藏
查看更多
课程推荐
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 515次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 499次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 484次学习
查看更多
AI推荐
-
- AI Mermaid流程图
- SEO AI Mermaid 流程图工具:基于 Mermaid 语法,AI 辅助,自然语言生成流程图,提升可视化创作效率,适用于开发者、产品经理、教育工作者。
- 786次使用
-
- 搜获客【笔记生成器】
- 搜获客笔记生成器,国内首个聚焦小红书医美垂类的AI文案工具。1500万爆款文案库,行业专属算法,助您高效创作合规、引流的医美笔记,提升运营效率,引爆小红书流量!
- 802次使用
-
- iTerms
- iTerms是一款专业的一站式法律AI工作台,提供AI合同审查、AI合同起草及AI法律问答服务。通过智能问答、深度思考与联网检索,助您高效检索法律法规与司法判例,告别传统模板,实现合同一键起草与在线编辑,大幅提升法律事务处理效率。
- 823次使用
-
- TokenPony
- TokenPony是讯盟科技旗下的AI大模型聚合API平台。通过统一接口接入DeepSeek、Kimi、Qwen等主流模型,支持1024K超长上下文,实现零配置、免部署、极速响应与高性价比的AI应用开发,助力专业用户轻松构建智能服务。
- 886次使用
-
- 迅捷AIPPT
- 迅捷AIPPT是一款高效AI智能PPT生成软件,一键智能生成精美演示文稿。内置海量专业模板、多样风格,支持自定义大纲,助您轻松制作高质量PPT,大幅节省时间。
- 772次使用
查看更多
相关文章
-
- GoLand调式动态执行代码
- 2023-01-13 502浏览
-
- 用Nginx反向代理部署go写的网站。
- 2023-01-17 502浏览
-
- Golang取得代码运行时间的问题
- 2023-02-24 501浏览
-
- 请问 go 代码如何实现在代码改动后不需要Ctrl+c,然后重新 go run *.go 文件?
- 2023-01-08 501浏览
-
- 如何从同一个 io.Reader 读取多次
- 2023-04-11 501浏览
