使用证书颁发机构签署证书请求

Question

使用证书颁发机构签署证书请求

gox509certificatetls1.2pkimutual-authentication

14

我想使用TLS双向认证来验证Go API上的客户端。我已创建了一个证书颁发机构，假设Bob有一对密钥对他想与客户端一起使用。Bob创建了一个证书请求，并希望我验证他的证书以获得在API上被授权和认证的权限。

我已使用此方法创建了我的证书颁发机构：

openssl genrsa -aes256 -out ca.key 4096
openssl req -new -x509 -sha256 -days 730 -key ca.key -out ca.crt

Bob用这个工具创建了他的证书和证书请求：

openssl genrsa -out bob.key 4096
openssl req -new -key bob.key -out bob.csr

我想在 Go 语言中实现这个功能：

openssl x509 -req -days 365 -sha256 -in bob.csr -CA ca.crt -CAkey ca.key -set_serial 3 -out bob.crt

现在，通过这些命令，Bob可以创建一个TLS连接到我的API，该API使用此tls.Config：

func createTLSConfig(certFile string, keyFile string, clientCAFilepath string) (config *tls.Config, err error) {
    cer, err := tls.LoadX509KeyPair(certFile, keyFile)
    if err != nil {
        return nil, err
    }

    clientCAFile, err := ioutil.ReadFile(clientCAFilepath)
    if err != nil {
        return nil, err
    }
    clientCAPool := x509.NewCertPool()
    clientCAPool.AppendCertsFromPEM(clientCAFile)

    config = &tls.Config{
        Certificates: []tls.Certificate{cer},
        ClientAuth: tls.RequireAndVerifyClientCert,
        ClientCAs:  clientCAPool,
        CipherSuites: []uint16{
            tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
            tls.TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
        },
        PreferServerCipherSuites: true,
        SessionTicketsDisabled:   false,
        MinVersion:               tls.VersionTLS12,
        CurvePreferences:         []tls.CurveID{tls.CurveP521, tls.CurveP384},
    }

    return config, nil
}

但如果现在Julia想要登录怎么办？她将不得不创建一个CSR，将其发送给我，然后我必须手动验证她的CSR并生成一个CRT。为了避免这种手动操作，我们可以建立一个注册端点，Julia可以在此提交她的CSR并获取一个有效的CRT。该端点大致如下：

func Register(c echo.Context) (err error) {
    // get Julia's csr from POST body
    csr := certificateFromBody(c.Body)

    // valid csr with ca to generate the crt
    crt := signCSR(csr, config.ClientCAPath)

    // return the crt to julia
    return c.JSON(http.StatusCreated, base64.StdEncoding.EncodeToString(crt))
}

我花了一些时间来理解 OpenSSL 如何使用 CA 从 CRS 创建 CRT，但没有成功。

Golang 包中的 crypto/x509 有一个 CertificateRequest 对象，我可以用 ParseCertificateRequest 创建，但是我找不到可以使用此对象和我的 CA 来生成证书的函数。

谢谢您的帮助！

- krostar

3个回答

4

您可以尝试使用x509.CreateCertificate。

CreateCertificate的一个参数是“模板”证书。

您可以使用Julia的CertificateRequest中的字段设置模板证书的字段。

Go的generate cert脚本展示了CreateCertificate的一个使用示例。

这假设来自Julia的API请求确实来自Julia，并且足够可信以签署请求并返回证书。

另外，在Go中为TLS使用您自己的PKI可能会有所帮助。

- Mark

3

这里是我为一篇关于PKI的博客文章编写的演示程序的代码片段。完整文章请参见：https://anchorloop.com/2017/09/25/security-iq-ii-public-key-infrastructure/。

// Now read that number of bytes and parse the certificate request
asn1Data := make([]byte, asn1DataSize)
_, err = reader.Read(asn1Data)
if err != nil {
    return err
}
fmt.Println("Received Certificate Signing Request.")
certReq, err := x509.ParseCertificateRequest(asn1Data)
if err != nil {
    return err
}

// Create template for certificate creation, uses properties from the request and root certificate.
serialNumberLimit := new(big.Int).Lsh(big.NewInt(1), 128)
serialNumber, err := rand.Int(rand.Reader, serialNumberLimit)
if err != nil {
    return err
}
template := x509.Certificate {
    Signature: certReq.Signature,
    SignatureAlgorithm: certReq.SignatureAlgorithm,

    PublicKeyAlgorithm: certReq.PublicKeyAlgorithm,
    PublicKey: certReq.PublicKey,

    SerialNumber: serialNumber,
    Issuer: rootCert.Subject,
    Subject: certReq.Subject,
    NotBefore: time.Now(),
    NotAfter: time.Now().Add(time.Hour * 24 * 365),
    KeyUsage: x509.KeyUsageDigitalSignature,
    ExtKeyUsage: []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth},
}

// Create certificate from template and root certificate, signed by the RootCA's private key.
certData, err := x509.CreateCertificate(rand.Reader, &template, rootCert, template.PublicKey, privateKey)
if err != nil {
    return err
}
fmt.Println("Created Certificate from CSR, signed by RootCA's Private Key.")

基本上:

客户端创建并发送证书签名请求(CSR)。
签名证书的所有者从CSR和签名证书的组合属性中解析出证书，并构建一个新的x509.Certificate。
将签名者的私钥传递给x509.CreateCertificate以进行签名。
之后，您可以将其发送回客户端。

希望这能有所帮助。

- Kirk MacPhee

2

我已经找到了一个解决方案，可以从私钥生成CSR，使用CA签名并生成新证书，以处理TLS双向认证（服务器端和客户端），但还是感谢你的帮助！ - krostar

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- krostar · Accepted Answer

现在它可以工作了，这是一个基本的解决方案，用于验证使用CA的CRT中的CSR：

加载CA证书
加载CA私钥（带密码）
加载Bob的CSR
使用CSR和CA信息创建证书模板
使用CA私钥从模板生成证书
保存Bob的证书

一个可行的示例：

package main

import (
    "crypto/rand"
    "crypto/x509"
    "encoding/pem"
    "io/ioutil"
    "math/big"
    "os"
    "time"
)

func crsToCrtExample() {
    // load CA key pair
    //      public key
    caPublicKeyFile, err := ioutil.ReadFile("certs/ca-root.crt")
    if err != nil {
        panic(err)
    }
    pemBlock, _ := pem.Decode(caPublicKeyFile)
    if pemBlock == nil {
        panic("pem.Decode failed")
    }
    caCRT, err := x509.ParseCertificate(pemBlock.Bytes)
    if err != nil {
        panic(err)
    }

    //      private key
    caPrivateKeyFile, err := ioutil.ReadFile("certs/ca-mutu.key")
    if err != nil {
        panic(err)
    }
    pemBlock, _ = pem.Decode(caPrivateKeyFile)
    if pemBlock == nil {
        panic("pem.Decode failed")
    }
    der, err := x509.DecryptPEMBlock(pemBlock, []byte("ca private key password"))
    if err != nil {
        panic(err)
    }
    caPrivateKey, err := x509.ParsePKCS1PrivateKey(der)
    if err != nil {
        panic(err)
    }

    // load client certificate request
    clientCSRFile, err := ioutil.ReadFile("certs/bob.csr")
    if err != nil {
        panic(err)
    }
    pemBlock, _ = pem.Decode(clientCSRFile)
    if pemBlock == nil {
        panic("pem.Decode failed")
    }
    clientCSR, err := x509.ParseCertificateRequest(pemBlock.Bytes)
    if err != nil {
        panic(err)
    }
    if err = clientCSR.CheckSignature(); err != nil {
        panic(err)
    }

    // create client certificate template
    clientCRTTemplate := x509.Certificate{
        Signature:          clientCSR.Signature,
        SignatureAlgorithm: clientCSR.SignatureAlgorithm,

        PublicKeyAlgorithm: clientCSR.PublicKeyAlgorithm,
        PublicKey:          clientCSR.PublicKey,

        SerialNumber: big.NewInt(2),
        Issuer:       caCRT.Subject,
        Subject:      clientCSR.Subject,
        NotBefore:    time.Now(),
        NotAfter:     time.Now().Add(24 * time.Hour),
        KeyUsage:     x509.KeyUsageDigitalSignature,
        ExtKeyUsage:  []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth},
    }

    // create client certificate from template and CA public key
    clientCRTRaw, err := x509.CreateCertificate(rand.Reader, &clientCRTTemplate, caCRT, clientCSR.PublicKey, caPrivateKey)
    if err != nil {
        panic(err)
    }

    // save the certificate
    clientCRTFile, err := os.Create("certs/bob.crt")
    if err != nil {
        panic(err)
    }
    pem.Encode(clientCRTFile, &pem.Block{Type: "CERTIFICATE", Bytes: clientCRTRaw})
    clientCRTFile.Close()
}

谢谢 Mark！