在项目中会出现请求外部api的情况,外部api可能会需要持有客户端证书的请求才能通过,本篇文章主要记录Golang项目访问外部api时配置客户端证书的过程
一、证书是什么?openssl x509 -in ca.crt -noout -text certPool := x509.NewCertPool() // 初始化证书池
caCrt, err := ioutil.ReadFile("ca/ca.crt") // 读取ca.crt证书内容
if err != nil {
log.Fatalln("ca.crt read error:", err)
}
certPool.AppendCertsFromPEM(caCrt) // 解析ca证书,并添加到证书池
// 解析颁发的客户端证书,LoadX509KeyPair由于没有提供解析时传入密码,所以客户端私钥不能有密码,
// 否则会报错: tls: failed to parse private key
clientCrt, err := tls.LoadX509KeyPair("ca/client.crt", "ca/key.unencrypted.pem")
if err != nil {
log.Fatalln("client.crt LoadX509KeyPair error:", err)
}
transport := &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: certPool, // 设置双向认证ca证书
Certificates: []tls.Certificate{clientCrt}, // 客户端证书,需要传递给服务端
InsecureSkipVerify: true, // 控制客户端是否验证服务器端的证书链和主机名,如果为true则客户端不验证服务器端的证书链和主机名
},
}
// 如果InsecureSkipVerify为false,则可能会存在一个报错:x509: certificate is not valid for any names, but wanted to match www.api_domain.com
client := &http.Client{Transport: transport}
resp, err := client.Get("https:/www.api_domain.com/api/v1/get")
fmt.Println(resp)
tls: failed to parse private keyx509: certificate is not valid for any names, but wanted to match