AWS API Go 语言中的网关客户端证书
AWS API Gateway client certificates in Go lang
我正在尝试确保 AWS API 网关和我的 API 端点服务之间的连接安全,完全按照他的文档中的描述:http://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html
AFAIK 我需要复制 AWS API 网关的证书并使用 http.ListenAndServeTLS 方法。但它接受两个文件:keyFile 和 certFile
func ListenAndServeTLS(addr, certFile, keyFile string, handler Handler).
当我点击复制时link(见下图)
我唯一得到的是这种格式的证书(为了便于解释,我已经缩短了它):
-----BEGIN CERTIFICATE-----
MIIC6TCCAdGgAwIBAgIJAKbyiCf2f5J2MA0GCSqGSIb3DQEBCwUAMDQxCzAJBgNV
fYe+dxR0PMFvfUpZaGgaY1ykQG1sNaw/b6NjNg9c1aEVSZ7b1eU/cBmb6XqHw0Ih
7yHtBm+p8Px4NMAT9YhytTxPRBYpApfUsfPMa3qfUWvvj4TD0LR6bW980bebyxUn
BigXToSFlPeiNGdU/Zpiw9crzplojNBFc=
-----END CERTIFICATE-----
所以我的问题是,我究竟需要如何配置 ListenAndServeTLS 方法以确保对我的服务的任何请求都来自 API 网关?我在哪里可以找到私钥?这让我很困惑。
AWS 给您的客户端证书用于验证向您的服务发送请求的客户端,即 AWS 网关。
此证书不用于启动您的服务器,而是用于验证请求。
查看下面的使用示例,未经测试的代码,但作为线索。
func Hello(w http.ResponseWriter, req *http.Request) {
io.WriteString(w, "hello, world!\n")
}
func main() {
http.HandleFunc("/hello", Hello)
certBytes, err := ioutil.ReadFile("aws-gateway.pem")
if err != nil {
log.Fatal(err)
}
block, certBytes := pem.Decode(certBytes)
cert, err := x509.ParseCertificate(block.Bytes)
if err != nil {
log.Fatal(err)
}
clientCertPool := x509.NewCertPool()
clientCertPool.AddCerts(cert)
tlsConfig := &tls.Config{
ClientCAs: clientCertPool,
// NoClientCert
// RequestClientCert
// RequireAnyClientCert
// VerifyClientCertIfGiven
// RequireAndVerifyClientCert
ClientAuth: tls.RequireAndVerifyClientCert,
}
tlsConfig.BuildNameToCertificate()
server := &http.Server{
Addr: ":8080",
TLSConfig: tlsConfig,
}
server.ListenAndServeTLS("server.crt", "server.key")
}
这样,您的服务将要求所有请求都提供证书,并将根据 ClientCA 池对其进行验证。如果需要,您当然可以向客户端池添加更多证书。
我正在尝试确保 AWS API 网关和我的 API 端点服务之间的连接安全,完全按照他的文档中的描述:http://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html
AFAIK 我需要复制 AWS API 网关的证书并使用 http.ListenAndServeTLS 方法。但它接受两个文件:keyFile 和 certFile
func ListenAndServeTLS(addr, certFile, keyFile string, handler Handler).
当我点击复制时link(见下图)
我唯一得到的是这种格式的证书(为了便于解释,我已经缩短了它):
-----BEGIN CERTIFICATE-----
MIIC6TCCAdGgAwIBAgIJAKbyiCf2f5J2MA0GCSqGSIb3DQEBCwUAMDQxCzAJBgNV
fYe+dxR0PMFvfUpZaGgaY1ykQG1sNaw/b6NjNg9c1aEVSZ7b1eU/cBmb6XqHw0Ih
7yHtBm+p8Px4NMAT9YhytTxPRBYpApfUsfPMa3qfUWvvj4TD0LR6bW980bebyxUn
BigXToSFlPeiNGdU/Zpiw9crzplojNBFc=
-----END CERTIFICATE-----
所以我的问题是,我究竟需要如何配置 ListenAndServeTLS 方法以确保对我的服务的任何请求都来自 API 网关?我在哪里可以找到私钥?这让我很困惑。
AWS 给您的客户端证书用于验证向您的服务发送请求的客户端,即 AWS 网关。
此证书不用于启动您的服务器,而是用于验证请求。
查看下面的使用示例,未经测试的代码,但作为线索。
func Hello(w http.ResponseWriter, req *http.Request) {
io.WriteString(w, "hello, world!\n")
}
func main() {
http.HandleFunc("/hello", Hello)
certBytes, err := ioutil.ReadFile("aws-gateway.pem")
if err != nil {
log.Fatal(err)
}
block, certBytes := pem.Decode(certBytes)
cert, err := x509.ParseCertificate(block.Bytes)
if err != nil {
log.Fatal(err)
}
clientCertPool := x509.NewCertPool()
clientCertPool.AddCerts(cert)
tlsConfig := &tls.Config{
ClientCAs: clientCertPool,
// NoClientCert
// RequestClientCert
// RequireAnyClientCert
// VerifyClientCertIfGiven
// RequireAndVerifyClientCert
ClientAuth: tls.RequireAndVerifyClientCert,
}
tlsConfig.BuildNameToCertificate()
server := &http.Server{
Addr: ":8080",
TLSConfig: tlsConfig,
}
server.ListenAndServeTLS("server.crt", "server.key")
}
这样,您的服务将要求所有请求都提供证书,并将根据 ClientCA 池对其进行验证。如果需要,您当然可以向客户端池添加更多证书。