我想使用TLS双向认证来验证Go API上的客户端。我已创建了一个证书颁发机构,假设Bob有一对密钥对他想与客户端一起使用。Bob创建了一个证书请求,并希望我验证他的证书以获得在API上被授权和认证的权限。
我已使用此方法创建了我的证书颁发机构:
openssl genrsa -aes256 -out ca.key 4096
openssl req -new -x509 -sha256 -days 730 -key ca.key -out ca.crt
Bob用这个工具创建了他的证书和证书请求:
openssl genrsa -out bob.key 4096
openssl req -new -key bob.key -out bob.csr
我想在 Go 语言中实现这个功能:
openssl x509 -req -days 365 -sha256 -in bob.csr -CA ca.crt -CAkey ca.key -set_serial 3 -out bob.crt
现在,通过这些命令,Bob可以创建一个TLS连接到我的API,该API使用此tls.Config:
func createTLSConfig(certFile string, keyFile string, clientCAFilepath string) (config *tls.Config, err error) {
cer, err := tls.LoadX509KeyPair(certFile, keyFile)
if err != nil {
return nil, err
}
clientCAFile, err := ioutil.ReadFile(clientCAFilepath)
if err != nil {
return nil, err
}
clientCAPool := x509.NewCertPool()
clientCAPool.AppendCertsFromPEM(clientCAFile)
config = &tls.Config{
Certificates: []tls.Certificate{cer},
ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: clientCAPool,
CipherSuites: []uint16{
tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
tls.TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
},
PreferServerCipherSuites: true,
SessionTicketsDisabled: false,
MinVersion: tls.VersionTLS12,
CurvePreferences: []tls.CurveID{tls.CurveP521, tls.CurveP384},
}
return config, nil
}
但如果现在Julia想要登录怎么办?她将不得不创建一个CSR,将其发送给我,然后我必须手动验证她的CSR并生成一个CRT。为了避免这种手动操作,我们可以建立一个注册端点,Julia可以在此提交她的CSR并获取一个有效的CRT。该端点大致如下:
func Register(c echo.Context) (err error) {
// get Julia's csr from POST body
csr := certificateFromBody(c.Body)
// valid csr with ca to generate the crt
crt := signCSR(csr, config.ClientCAPath)
// return the crt to julia
return c.JSON(http.StatusCreated, base64.StdEncoding.EncodeToString(crt))
}
我花了一些时间来理解 OpenSSL 如何使用 CA 从 CRS 创建 CRT,但没有成功。
Golang 包中的 crypto/x509 有一个 CertificateRequest 对象,我可以用 ParseCertificateRequest 创建,但是我找不到可以使用此对象和我的 CA 来生成证书的函数。
谢谢您的帮助!