欢迎各位小伙伴来到编程网,相聚于此都是缘哈哈哈!今天我给大家带来《对特定主机使用 TLS/SSL 客户端身份验证》,这篇文章主要讲到等等知识,如果你对Golang相关的知识非常感兴趣或者正在自学,都可以关注我,我会持续更新相关文章!当然,有什么建议也欢迎在评论留言提出!一起学习!
在使用像 julienschmidt 的 httprouter 这样的反向代理时,如何对特定主机使用 tls/ssl 客户端身份验证?
我可以使用 http.defaulttransport 在全局事务中设置客户端证书。
transport := &http.transport{
tlsclientconfig: &tls.config{
certificates: []tls.certificate{cert},
},
}
http.defaulttransport = transport但只想对特定主机使用客户端证书,例如:
- 主机 1 的证书 1
- 主机 2 的证书 2
- 其他无客户端证书
更新
我预计回调 getconfigforclienthandler 或
将调用 getcertificatehandler。此时我可以对 info.servername 做出反应。但只有 getclientcertificate 被调用,没有有关目标 info.servername 的信息。
func main() {
transport := &http.Transport{
TLSClientConfig: &tls.Config{
GetConfigForClient: GetConfigForClientHandler,
GetClientCertificate: GetClientCertificateHandler,
GetCertificate: GetCertificateHandler,
},
}
http.DefaultTransport = transport
// Host which enforce client certificate authentication
resp, err := http.Get("https://example.com")
if err != nil {
fmt.Println("Error", err)
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}
func GetClientCertificateHandler(info *tls.CertificateRequestInfo) (*tls.Certificate, error) {
fmt.Println("GetClientCertificateHandler")
panic("GetClientCertificateHandler")
}
func GetConfigForClientHandler(info *tls.ClientHelloInfo) (*tls.Config, error) {
fmt.Println("GetConfigForClientHandler for:", info.ServerName)
panic("GetConfigForClientHandler")
}
func GetCertificateHandler(info *tls.ClientHelloInfo) (*tls.Certificate, error) {
fmt.Println("GetCertificateHandler for:", info.ServerName)
panic("GetCertificateHandler")
}解决方案
- 创建一个为所有主机共享的 TLS 配置。也许你不需要在那里设置太多。但您想设置一个
Config.GetConfigForClient处理程序。 - 在该处理程序中,您检查
ClientHelloInfo.ServerName。这是请求的主机。然后,您修改 TLS 配置以要求进行客户端身份验证 (Config.ClientAuth)。 - 使用
tls.NewListener封装您的 net.Listener - 在
http.Serve中使用您的 TLSnet.Listener(您可以在此处使用 httprouter)
今天关于《对特定主机使用 TLS/SSL 客户端身份验证》的内容介绍就到此结束,如果有什么疑问或者建议,可以在编程网公众号下多多回复交流;文中若有不正之处,也希望回复留言以告知!
