golang加载双向认证加密的证书key文件

最新推荐文章于 2025-06-13 09:46:02 发布
原创 最新推荐文章于 2025-06-13 09:46:02 发布 · 4.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#加密证书Key

本文介绍了一种用于解密TLS证书的方法,通过使用特定的密码来解密加密的私钥,并提供了详细的步骤说明如何为证书的key增加或移除密码。 

证书的key是可以加密保存的,我们需要进行解密加载
func MyLoadX509KeyPair(certFile, keyFile, password string) (tls.Certificate, error) {
   certPEMByte, err := ioutil.ReadFile(certFile)
   if err != nil {
      return tls.Certificate{}, err
   }

   keyPEMByte, err := ioutil.ReadFile(keyFile)
   if err != nil {
      glog.Errorf("read %s failed! err: %s", keyFile, err)
      return tls.Certificate{}, err
   }

   keyPEMBlock, rest := pem.Decode(keyPEMByte)
   if len(rest) > 0 {
      glog.Errorf("Decode key failed!")
      return tls.Certificate{}, errors.Errorf("Decode key failed!")
   }

   if x509.IsEncryptedPEMBlock(keyPEMBlock) {
      keyDePEMByte, err := x509.DecryptPEMBlock(keyPEMBlock, []byte(password))
      if err != nil {
         glog.Errorf("decrypt failed! %s", err)
         return tls.Certificate{}, err
      }

      // 解析出其中的RSA 私钥
      key, err := x509.ParsePKCS1PrivateKey(keyDePEMByte)
      if err != nil {
         glog.Errorf("ParsePKCS1PrivateKey failed! %s", err)
         return tls.Certificate{}, err
      }
      // 编码成新的PEM 结构
      keyNewPemByte := pem.EncodeToMemory(
         &pem.Block{
            Type:  "RSA PRIVATE KEY",
            Bytes: x509.MarshalPKCS1PrivateKey(key),
         },
      )

      return tls.X509KeyPair(certPEMByte, keyNewPemByte)
   } else {
      return tls.X509KeyPair(certPEMByte, keyPEMByte)
   }
}

证书key进行增加密码或者去掉密码的操作方式

1、检测ssl.key 密码是否正确

openssl rsa -text -noout -in server.key
命令输出:
Private-Key: (2048 bit)
modulus:
00:b0:fd:c2:81:60:3f:d2:dc:fe:2d:34:c6:46:1e:
08:72:c3:78:f3:4d:12:16:b9:39:3e:0b:d3:8b:e7:
...

2 . 给server.key 添加密码

openssl rsa -des -in server.key -out encrypt.key
输出:
writing RSA key
Enter PEM pass phrase:  密码
Verifying - Enter PEM pass phrase: 再次输入密码
encrypt.key  这个文件就是加密过的key

3. 去掉密码

encrypt.key        加密KEY
nopassword.key  无加密
#openssl rsa -in encrypt.key -out nopassword.key
writing RSA key
Enter PEM pass phrase:  密码
Verifying - Enter PEM pass phrase: 再次输入密码
Golang 实现双向 HTTPS 认证:详细教程与代码示例
Golang编程笔记的博客
07-22 1041
本文旨在为开发者提供一份完整的 Golang 双向 HTTPS 认证实现指南。我们将覆盖从证书生成到代码实现的全部过程,帮助您构建安全的服务间通信系统。核心概念与联系:解释双向认证的基本原理证书生成:创建所需的证书和密钥服务端实现:构建支持双向认证的 HTTPS 服务器客户端实现:创建能够与服务器进行双向认证的客户端实际应用:探讨双向认证的典型应用场景HTTPS:超文本传输安全协议,HTTP 的安全版本TLS:传输层安全协议,用于加密网络通信mTLS
Golang项目访问外部接口添加客户端TLS/SSL证书
nil
04-29 5542
Golang项目访问外部接口添加客户端TLS/SSL证书
Golang | gRPC】使用TLS/SSL认证的gRPC服务
土豆
07-03 2249
环境: Golang: go1.18.2 windows/amd64 grpc: v1.47.0 protobuf: v1.28.0 OpenSSL: 3.0.4完整代码: https://github.com/WanshanTian/GolangLearning cd GolangLearning/RPC/gRPC-cred支持很多认证机制,如:, ,,同时支持以插件的方式使用自定义的认证机制。 本文主要介绍认证机制的使用【Golang | gRPC】使用gRPC实现简单远程调用 实现了无认证的gRPC服
Golang gRPC: 基于CA证书双向TLS认证
weixin_41335923的博客
04-18 1826
Golang gRPC: 基于CA证书双向TLS认证
使用golang进行证书签发和双向认证
weixin_34419326的博客
06-05 3459
前言 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件证书签发涉及到了非对称加密方面的知识,这里介绍使用golang中的x509标准库进行证书自签发,还有证书签发后如何使用golang进行双向认证. 自签发证书 生成根证书证书是CA认证中心给自己颁发的证书,是信任链的起始点.这里我们自己做CA使用ope...
从基础到高级:Go中crypto/x509库的终极指南
walkskyer的博客
02-26 1763
X.509是一种非常重要的标准,它定义了数字证书的格式。这些证书用于在网络通信中建立和验证实体的身份,是现代安全通信的基石。理解X.509对于有效使用库至关重要。在某些情况下,标准的证书验证逻辑可能无法满足特定的安全需求。在这种情况下,可以通过自定义验证逻辑来增强安全性。import ("log""net"// 自定义验证函数// 实现自定义的证书验证逻辑// 示例中只进行了基本的验证,实际应用中需要更严格的逻辑} else {return nil},
Golang 实现 HTTPS 双向认证的方法
Golang编程笔记的博客
06-13 780
在传统的HTTPS单向认证中,只有客户端验证服务器的证书(比如你访问淘宝时,浏览器会检查淘宝的证书是否可信)。但如果是银行内部系统、企业API接口等场景,服务器还需要确认“客户端不是黑客”——这就需要双向认证双向认证的核心概念(证书、CA、TLS握手)Golang实现双向认证的完整步骤(证书生成→服务端代码→客户端代码)常见问题与调试技巧用“小区门禁”的故事理解双向认证拆解证书、CA、TLS握手的核心概念手把手教你用OpenSSL生成证书编写Golang服务端和客户端代码。
Golang 实现双向 TLS 认证的完整教程
Golang编程笔记的博客
05-17 832
本文旨在提供一份完整的Golang双向TLS(mTLS)认证实现指南,覆盖从基础概念到实际部署的全过程。TLS/SSL协议基础证书体系与PKIGolang标准库中的crypto/tls包使用实际开发中的最佳实践文章首先介绍TLS双向认证的基本概念,然后逐步讲解证书生成、服务端和客户端实现,最后探讨实际应用中的注意事项和优化策略。: 传输层安全协议,用于在网络通信中提供加密和身份验证双向认证(mTLS): TLS的一种模式,要求客户端和服务器都验证对方的身份。
gRPC 的 SSL/TLS 加密认证
qq_46457076的博客
02-16 2406
关于 gRPC 的 SSL/TLS 加密认证介绍!
生成LoadX509KeyPair 需要的证书
九班长的博客
04-01 378
对于微服务架构,可以考虑使用服务网格(如Istio)管理证书。自签名证书浏览器会显示警告,仅适用于开发和测试环境。私钥文件必须严格保护,不要提交到版本控制系统。证书有效期通常设置为1年,需要定期更新。生产环境应使用受信任的CA签发的证书。这些生成的证书文件可以直接用于Go的。服务器证书(PEM 格式,通常为。私钥文件(PEM 格式,通常为。函数来配置TLS服务器或客户端。
https原理以及golang基本实现
weixin_33794672的博客
07-11 210
关于https 背景知识 密码学的一些基本知识 大致上分为两类,基于key加密算法与不基于key加密算法。现在的算法基本都是基于key的,key就以一串随机数数,更换了key之后,算法还可以继续使用。 基于key加密算法又分为两类,对称加密和不对称加密,比如DES,AES那种的,通信双方一方用key加密之后,另一方用相同的key进行反向的运算就可以解密。 不对称加密比较著名的就是RSA,加密...
RSA算法
Eighteen
09-04 572
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、RSA是什么?二、go语言实现 前言 提示:以下是本篇文章正文内容,下面案例可供参考 一、RSA是什么? RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的 [1] 。 RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知
go: 如何分区x509.ParsePKCS1PrivateKeyx509.ParsePKCS8PrivateKey
十年运维开发经验的王义杰在此分享自己的知识和经验
02-27 1442
在Go开发中,处理私钥的常见场景涉及到解析PEM格式的私钥文件。这通常涉及到两种私钥格式:PKCS#1 和 PKCS#8。根据私钥的实际格式,我们会使用函数来解析PKCS#1格式的私钥,或使用函数来解析PKCS#8格式的私钥。
Go语言开发(十五)、Go语言常用标准库五
weixin_34009794的博客
01-19 529
Go语言开发(十五)、Go语言常用标准库五 一、md5 1、md5简介 md5在crypto/md5包中,md5包提供了New和Sum方法。 func New() hash.Hash func Sum(data []byte) [Size]byte hash.Hash继承了io.Writer,因此可以将其当成一个输入流进行内容的更新。 type Writer interface { Wri...
在Ubuntu 16.04.3 TLS上玩转tls协议的简单demo
雪峰流云
03-07 2929
目的熟悉openssl生成密钥和证书对,熟悉go中crypto/tls的用法名词解释PEM - Privacy Enhanced Mail,打开看文本格式,以”—–BEGIN…”开头, “—–END…”结尾,内容是BASE64编码.Apache和*NIX服务器偏向于使用这种编码格式.查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noou...
K8S之Kuboard显示已导入【创建 X509KeyPair 失败】 tls: failed to find any PEM data in certificate input
一掬净土
07-06 3041
kuboard用着用着,突然发现,只是已导入状态,而不是已就绪的状态,且重新导入kubeconfig显示的提示。
https单向认证双向认证区别
aaaa111111222的博客
03-22 777
关于证书 1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。 2、证书(无客户端服务端之分)保存着ip信息、证书过期时间、证书所有者地址信息等...
SSL单双向认证
无奇不有 不置可否的博客
01-13 2392
本文旨在介绍SSL单双向认证相关知识,包括TLS协议,单双向流程等等。
golang的 grpc调用加密
最新发布
07-09
在 Go 语言中实现 gRPC 调用的加密,主要通过配置 TLS(Transport Layer Security)来完成。TLS 提供了端到端的数据加密和身份验证机制,确保通信过程中的数据安全性和完整性。 ### 服务端配置 TLS gRPC 服务端需要加载服务器证书和私钥,并创建基于 SSL/TLS 的服务凭据。以下是一个简单的服务端 TLS 配置示例: ```go package main import ( "fmt" "log" "net" "google.golang.org/grpc" "google.golang.org/grpc/credentials" ) func main() { // 加载服务器证书和私钥 creds, err := credentials.NewServerTLSFromFile("server.crt", "server.key") if err != nil { log.Fatalf("failed to load server certificates: %v", err) } // 创建 gRPC 服务选项,使用 TLS 凭据 opts := []grpc.ServerOption{ grpc.Creds(creds), } // 创建 gRPC 服务实例 s := grpc.NewServer(opts...) // 注册服务(假设已经定义了一个 HelloService) // pb.RegisterHelloServiceServer(s, &helloService{}) // 监听端口并启动服务 lis, err := net.Listen("tcp", ":1234") if err != nil { log.Fatalf("failed to listen: %v", err) } fmt.Println("Server is running on port 1234 with TLS enabled.") if err := s.Serve(lis); err != nil { log.Fatalf("failed to serve: %v", err) } } ``` 上述代码中,`credentials.NewServerTLSFromFile` 用于加载服务端的证书和私钥[^1],并通过 `grpc.Creds` 设置为服务的传输凭据。 --- ### 客户端配置 TLS 客户端需要加载信任的根证书以验证服务端的身份,并建立安全连接。以下是客户端的 TLS 实现方式: ```go package main import ( "context" "fmt" "log" "google.golang.org/grpc" "google.golang.org/grpc/credentials" ) func main() { // 加载信任的根证书 creds, err := credentials.NewClientTLSFromFile("server.crt", "") if err != nil { log.Fatalf("failed to load root certificate: %v", err) } // 创建安全连接 conn, err := grpc.Dial("localhost:1234", grpc.WithTransportCredentials(creds)) if err != nil { log.Fatalf("failed to connect: %v", err) } defer conn.Close() // 假设已生成客户端 stub // client := pb.NewHelloServiceClient(conn) // reply, err := client.Hello(context.Background(), &pb.HelloString{Value: "world"}) // if err != nil { // log.Fatalf("failed to call Hello: %v", err) // } // fmt.Println(reply.GetValue()) } ``` 在客户端中,`credentials.NewClientTLSFromFile` 用于加载服务端的公钥证书,以便进行身份验证和建立加密通道[^2]。 --- ### 双向认证(mTLS) 如果需要实现双向认证(Mutual TLS),即客户端和服务端都必须提供证书进行身份验证,则需要在服务端和客户端分别配置客户端 CA 证书。 #### 服务端启用 mTLS: ```go // 加载客户端 CA 证书 clientCAs, err := os.ReadFile("client-ca.crt") if err != nil { log.Fatalf("failed to read client CA cert: %v", err) } cp := x509.NewCertPool() if !cp.AppendCertsFromPEM(clientCAs) { log.Fatalf("failed to append client CA certs") } // 配置 TLS 选项,要求客户端提供证书 config := &tls.Config{ ClientCAs: cp, ClientAuth: tls.RequireAndVerifyClientCert, } creds := credentials.NewTLS(config) ``` #### 客户端启用 mTLS: ```go // 加载客户端证书和私钥 cert, err := tls.LoadX509KeyPair("client.crt", "client.key") if err != nil { log.Fatalf("failed to load client certificate: %v", err) } // 加载服务端根证书 rootCAs, err := os.ReadFile("server.crt") if err != nil { log.Fatalf("failed to read server cert: %v", err) } cp := x509.NewCertPool() if !cp.AppendCertsFromPEM(rootCAs) { log.Fatalf("failed to append server certs") } config := &tls.Config{ Certificates: []tls.Certificate{cert}, RootCAs: cp, } creds := credentials.NewTLS(config) ``` 以上代码实现了客户端和服务端之间的双向认证,确保双方身份可信[^2]。 --- ### 使用 SAN 证书支持多个域名 为了使一个证书能够支持多个域名或 IP 地址,可以使用带有 SAN(Subject Alternative Name)扩展的证书。这种证书可以在签发时指定多个 DNS 名称或 IP 地址,适用于多域名部署场景[^2]。 --- ### 总结 - **服务端**:使用 `credentials.NewServerTLSFromFile` 或自定义 `tls.Config` 来加载证书和私钥,并设置为 gRPC 服务的传输凭据。 - **客户端**:使用 `credentials.NewClientTLSFromFile` 或自定义 `tls.Config` 来加载信任的根证书,建立安全连接。 - **双向认证**:服务端需指定客户端 CA 证书并启用 `RequireAndVerifyClientCert`,客户端需加载自己的证书和私钥。 - **SAN 支持**:确保证书包含多个 DNS 或 IP 地址作为替代名称,以适应不同访问路径。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XR风云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值