GO (国密,标准Https) 单向,双向认证Demo

最新推荐文章于 2024-08-08 07:12:35 发布
原创 最新推荐文章于 2024-08-08 07:12:35 发布 · 3.7k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#国密sm2证书 #go

本文详细介绍了如何使用开源项目tjfoc/gmsm进行国密通信,包括生成私钥、证书及解决常见问题,提供了生成CA、服务器签名和加密证书的步骤,并展示了HTTP与GMSSL服务器客户端的连接示例。

最近使用开源项目tjfoc/gmsm 做国密研究,由于他没有具体说怎么生成证书的,期间对于生成他对应的国密证书做了些研究,踩了一些坑

他对国密通信做的demo主要在websvr目录下

下面主要说下生成国密证书步骤

1. 需要装gmssl , 具体编译参见上一篇文章

2. 使用gmssl ecparam -genkey -name sm2p256v1 -noout -out ${OUTPUT}/${name}.key 生成的私钥在他的go代码 gmtls.LoadX509KeyPair 方法会报错,经过研究可以使用x509目录下的go生成私钥

所以使用x509目录下的生成私钥代码

func createPrvateKey(s string)  {
	priv, err := sm2.GenerateKey(nil) // 生成密钥对
	if err != nil {
		return
	}
	privPem, err := WritePrivateKeyToPem(priv, nil) // 生成密钥文件
	fmt.Printf("privateKey=%s",privPem)
	if err != nil {
		return
	}
	os.Remove(s)
	os.WriteFile(s,privPem,0666)
}

其他部分还是使用gmssl生成

3. 开始生成的证书会报keyUsage相关错误,以server签名证书为例

使用./openssl.cnf -extensions v3_req 参数,在openssl.cnf中

 server加密证书

-extfile ./openssl.cnf -extensions v3enc_req

4. 如果遇到 x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs 解决: 解决参考

在openssl.cnf中

测试Demo代码

package main

import (
	"crypto/tls"
	"fmt"
	"github.com/tjfoc/gmsm/gmtls"
	"github.com/tjfoc/gmsm/x509"
	"io/ioutil"
	"log"
	"net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
	fmt.Fprintf(w,
		"王家荣")
}
func httpServerOne()  {
	http.HandleFunc("/", handler)
	err := http.ListenAndServeTLS(":50052", "./certs/standard_server_sign.cer",
		"./certs/standard_server_sign.key", nil)
	if err != nil {
		fmt.Println(err)
	} else {
		fmt.Println("单项httpServer启动成功")
	}
}

func httpServerTwo() {
	config,err := newServerConfig()
	if err != nil {
		fmt.Println(err)
		return
	}
	http.HandleFunc("/", handler)
	s := &http.Server{
		Addr: ":50052",
		TLSConfig: config,
	}
	log.Fatal(s.ListenAndServeTLS("./certs/standard_server_sign.cer", "./certs/standard_server_sign.key"))
}

func httpClientOne()  {
	config,err := newClientConfig()
	if err != nil {
		fmt.Println(err)
		return
	}
	conn, err := tls.Dial("tcp", "127.0.0.1:50052", config)
	if err != nil {
		fmt.Printf("%s\r\n",err)
		return
	}
	defer conn.Close()

	req := []byte("GET / HTTP/1.1\r\n" +
		"Host: 127.0.0.1\r\n" +
		"Connection: close\r\n\r\n")
	_, _ = conn.Write(req)
	buff := make([]byte, 1024)
	for {
		n, _ := conn.Read(buff)
		if n <= 0 {
			break
		} else {
			fmt.Printf("收到回应[%s]\r\n", buff[0:n])
		}
	}
	fmt.Println("标准HTTPS 单向认证通过")
}
func httpClientTwo()  {
	config,err := newClientConfig()
	if err != nil {
		fmt.Println(err)
		return
	}
	conn, err := tls.Dial("tcp", "127.0.0.1:50052", config)
	if err != nil {
		fmt.Printf("%s\r\n",err)
		return
	}
	defer conn.Close()

	req := []byte("GET / HTTP/1.1\r\n" +
		"Host: 127.0.0.1\r\n" +
		"Connection: close\r\n\r\n")
	_, _ = conn.Write(req)
	buff := make([]byte, 1024)
	for {
		n, _ := conn.Read(buff)
		if n <= 0 {
			break
		} else {
			fmt.Printf("收到回应[%s]\r\n", buff[0:n])
		}
	}
	fmt.Println("标准HTTPS 双向认证通过")
}


func gmServerTwo() {
	sigCert, err := gmtls.LoadX509KeyPair(
		"./certs/server_sign.cer",
		"./certs/server_sign.key")
	if err != nil {
		fmt.Println(err)
	}
	encCert, err := gmtls.LoadX509KeyPair(
		"./certs/server_encode.cer",
		"./certs/server_encode.key")
	if err != nil {
		fmt.Println(err)
	}
	certPool := x509.NewCertPool()
	cacert, err := ioutil.ReadFile("./certs/ca.cer")
	if err != nil {
		fmt.Println(err)
	}
	certPool.AppendCertsFromPEM(cacert)
	config := &gmtls.Config{
		GMSupport:    &gmtls.GMSupport{},
		Certificates: []gmtls.Certificate{sigCert, encCert},
		ClientAuth:   gmtls.RequireAndVerifyClientCert,
		ClientCAs:    certPool,
	}
	if err != nil {
		fmt.Println(err)
	}
	ln, err := gmtls.Listen("tcp", ":50052", config)
	if err != nil {
		fmt.Println(err)
	}
	defer ln.Close()
	serveMux := http.NewServeMux()
	serveMux.HandleFunc("/", handler)
	fmt.Println(">> HTTP :50055 [GMSSL] Client Auth running...")
	err = http.Serve(ln, serveMux)
	if err != nil {
		fmt.Println(err)
	}
}

func gmServerOne() {
	sigCert, err := gmtls.LoadX509KeyPair(
		"./certs/server_sign.cer",
		"./certs/server_sign.key")
	if err != nil {
		fmt.Println(err)
	}
	encCert, err := gmtls.LoadX509KeyPair(
		"./certs/server_encode.cer",
		"./certs/server_encode.key")
	if err != nil {
		fmt.Println(err)
	}
	config := &gmtls.Co
最低0.47元/天 解锁文章
[密码学实战]Java实现国密TLSv1.3单向认证(八)
曼岛_的博客
03-08 812
[密码学实战]Java实现国密TLSv1.3单向认证
国密双向认证抓包及分析
xihuanyuye的博客
05-17 3659
基于TASSL双向认证握手协议 说明 C->S表示报文从client端发送到server端 S->C表示报文从server端发送到client端。 采用国密版本wirshark进行抓包操作。 1 client hello (C->S) 客户端发起握手协商操作,它将发送一个 Client Hello 消息给服务器,消息中明确了其所支持的SSL/TLS版本、Cipher suite加密算法组合等,可以让服务器选择,并提供了一个客户端随机数,用于以后生成会话密钥使用。 2 server hel
golang https单向认证双向认证
赵凯月的博客
10-30 990
【代码】golang https单向认证双向认证
https双向认证
ggaofengg的专栏
03-21 4700
一、最简单的https # https.go package main import ( "fmt" "net/http" ) func handler(w http.ResponseWriter, r *http.Request) { fmt.Fprintf(w, "Hi, This is an example of https service in golang!") } func main() { http.HandleFunc("/", handler) err := http.L
使用Go基于国密算法实现双向认证
TonyBai
07-18 7694
国内做2B(to Biz)或2G(to Gov)产品和解决方案的企业都绕不过国密算法,越来越多的国内甲方在采购需求中包含了基于国密算法的认证、签名、加密等需求。对于国内的车联网平台来说,支持基于国密双向认证也是大势所趋。在这篇文章中,我就来说说如何基于国密算法实现双向认证,即使用国密算法的安全传输层双向认证。一. 简要回顾基于TLS的双向认证在《Go语言精进之路》[1]...
密信浏览器添加信任根、国密Key双向认证(测试)
Oh~Why not!
03-17 3244
密信浏览器 信任根 国密Key双向认证
Go密码学实战:国密算法与TLS双向认证实现.pdf
最新发布
05-01
Go 语言以极简设计理念和出色工程性能,成为云原生时代的首选编程语言。从 Docker 到 Kubernetes,全球顶尖科技企业都在采用 Go。点击了解 Go 语言的核心优势、实战窍门和未来走向,开启高效编程的全新体验!
Java实现SSL双向认证的方法
09-01
Java中的SSL双向认证是一种安全通信机制,用于确保服务器和客户端之间的通信不仅加密,而且双方的身份都得到验证。这种机制在需要高安全性交互的应用场景中,如金融交易、企业内部网络通信等,尤其重要。 SSL...
Go语言实战教程:深入国密算法与TLS双向认证
资源摘要信息:"《Go密码学实战:国密算法与TLS双向认证实现.pdf》是一份详细介绍在Go语言环境下实现国密算法和TLS双向认证的技术文档。文档结构清晰,内容详实,适合IT专业人士和学习Go语言的学生进行参考和学习。本...
JAVA简单实现国密双向认证
weixin_41850878的博客
07-27 1610
要实现国密双向认证的数据发送,需要使用支持国密算法的Java库,并且确保HTTP客户端能够处理SSL/TLS连接时的客户端证书验证。
开源OpenSSL的国密算法整理分析.pdf
05-20
通过对开源项目OpenSSL分析,整理了GMSSL项目介绍,Windows下的编译,Windows命令行下SM4加解密,SM2密钥对生成,加密验签的操作方法等。
Tomcat双向认证SSL证书
08-16
个人学习笔记,markdown风格,记录Tomcat双向认证SSL证书的过程
gm-jsse:开源国密通信纯 Java JSSE 实现
05-10
English | 通用JSSE 要求 JDK 1.7或更高版本。 安装 < dependency> < groupId>com.aliyun</ groupId> < artifactId>gmsse</ artifactId> < version>{{see the version on the badge}}</ version> </ dependency> 用法 import javax.net.ssl.HttpsURLConnection ; import javax.net.ssl.SSLContext ; import javax.net.ssl.SSLSocketFactory ; import java.net.URL ; import com.aliyun.gmsse.GMProvider ; public class Main
国密SM2 / SM3 / SM4 / SM9 / ZUC算法的官方源代码
08-30
官方源码,包括目前常用的国密算法(SM2 / SM3 / SM4 / SM9 / ZUC)的加解密、签名验签、密钥协商、密钥封装全套代码 SM2算法源代码 SM3算法源代码 SM4算法源代码 SM9算法源代码 ZUC算法源代码
SSL双向认证握手过程 非常详细
08-03
SSL双向认证握手过程 非常详细
ssl双向验证
miaoxiongguohui的专栏
09-26 692
keytool -genkey -v -alias tomcat -keyalg RSA -keystore F:/caixun_work/test_tomcat_https/tomcat.keystore -dname "CN=127.0.0.1,OU=风絮,O=风絮,L=昆明,ST=云南,C=CN" -validity 3650 -storepass xiejin -keypass xieji
国密算法GMSSL(单向)+ Tomcat(国密)+ Springboot部署
qq_45023053的博客
01-29 3041
GMSSL国密算法单项加密+spingboot后端部署
【C++】使用libhv实现一个双向证书认证Https客户端(附带Go实现的服务端)
RicheyJang的博客
04-03 6016
如何使用libhv实现一个双向认证Https客户端,代码及原理解读;配套Go实现的对应服务端,二者可以正确地认证、加密通信。
推荐开源项目:gmhelper - 国密算法一站式解决方案
gitblog_00088的博客
08-08 1178
推荐开源项目:gmhelper - 国密算法一站式解决方案 gmhelper基于BC库:国密SM2/SM3/SM4算法简单封装;实现SM2 X509v3证书的签发;实现SM2 pfx证书的签发项目地址:https://gitcode.com/gh_mirrors/gm/gmhelper 项目介绍 gmhelper 是一款简洁高效的Java库,它基于Bouncy Castle (BC)库,对我国国...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值