如何信任自签名证书
How to trust self-signed certificate
如题,有没有办法在 Go 中信任自签名证书?
场景描述:
我设置了一个 https 服务器,它使用自签名证书。当我想用go客户端调用这个服务器时,go需要信任这个自签名证书。
信任自签名证书(服务器出示自己)意味着 https 客户端必须能够验证自签名证书是由受信任的机构颁发的 - 即用于签署服务器证书的 CA 需要由受信任的 CA 列表中的客户端。这个列表可以由客户端自己管理,或者客户端可以利用操作系统信任的 CA 存储来获取这个列表。
客户端信任不受操作系统信任的额外 CA 的第一个选项可以通过获取操作系统信任的证书并在其中附加额外的 CA cert 来实现,如下所示:
rootCAs, _ := x509.SystemCertPool()
// handle case where rootCAs == nil and create an empty pool...
if ok := rootCAs.AppendCertsFromPEM(cert); !ok {
...
}
config := &tls.Config{
InsecureSkipVerify: *insecure,
RootCAs: rootCAs,
}
tr := &http.Transport{TLSClientConfig: config}
client := &http.Client{Transport: tr}
第二个选项取决于操作系统(您不指定您正在使用哪个 OS)。在例如Linux Go 在 these locations 中寻找受信任的 CA,因此您需要在那里安装用于签署服务器证书的 CA(这与 OS 甚至 OS 的分发不同 - 您会发现如何在 OS 文档中执行此操作)。
如题,有没有办法在 Go 中信任自签名证书? 场景描述: 我设置了一个 https 服务器,它使用自签名证书。当我想用go客户端调用这个服务器时,go需要信任这个自签名证书。
信任自签名证书(服务器出示自己)意味着 https 客户端必须能够验证自签名证书是由受信任的机构颁发的 - 即用于签署服务器证书的 CA 需要由受信任的 CA 列表中的客户端。这个列表可以由客户端自己管理,或者客户端可以利用操作系统信任的 CA 存储来获取这个列表。
客户端信任不受操作系统信任的额外 CA 的第一个选项可以通过获取操作系统信任的证书并在其中附加额外的 CA cert 来实现,如下所示:
rootCAs, _ := x509.SystemCertPool()
// handle case where rootCAs == nil and create an empty pool...
if ok := rootCAs.AppendCertsFromPEM(cert); !ok {
...
}
config := &tls.Config{
InsecureSkipVerify: *insecure,
RootCAs: rootCAs,
}
tr := &http.Transport{TLSClientConfig: config}
client := &http.Client{Transport: tr}
第二个选项取决于操作系统(您不指定您正在使用哪个 OS)。在例如Linux Go 在 these locations 中寻找受信任的 CA,因此您需要在那里安装用于签署服务器证书的 CA(这与 OS 甚至 OS 的分发不同 - 您会发现如何在 OS 文档中执行此操作)。