Как отправить запрос https с сертификатом golang

Question

Как отправить запрос https с сертификатом golang

у меня есть сервер, на котором работает REST API через https. Я хочу сделать вызов этому REST api в моем приложении, которое работает в другом порту, но так как это над https, я получаю

Post https://localhost:8080/api/v1/myapi: x509: certificate signed by unknown authority

у меня есть 2 файла pulic_key.pem и private_key, которые могут использоваться для проверки сертификата. Как проверить сертификат при отправке запроса rest с помощью golang? Я использую &http.Client{} отправить запрос на отдых. Вот что я делаю, чтобы игнорировать сертификат правильно сейчас.

tr := &http.Transport{
TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
}

client := &http.Client{Transport: tr}

6

go rest ssl

автор: aaj

2 ответов

автор: CrazyCrow · Accepted Answer · 2016-08-08 09:26:14

вам нужно добавить CA вашего сертификата к вашему транспорту, как:

package main

import (
    "crypto/tls"
    "io/ioutil"
    "log"
    "net/http"
    "crypto/x509"
)

func main() {
    caCert, err := ioutil.ReadFile("rootCA.crt")
    if err != nil {
        log.Fatal(err)
    }
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(caCert)

    client := &http.Client{
        Transport: &http.Transport{
            TLSClientConfig: &tls.Config{
                RootCAs:      caCertPool,
            },
        },
    }

    _, err := client.Get("https://secure.domain.com")
    if err != nil {
        panic(err)
    }
}

но я думаю, вы просто не создали CA, чтобы сделать свои сертификаты. Вот список команд без объяснений, которые могут помочь вам сделать сертификаты, подписанные с вашим собственным CA. Для получения дополнительной информации, вы можете Google it.

генерация CA

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -key rootCA.key -days 3650 -out rootCA.crt

создать сертификат для secure.domain.com подписано с created CA

openssl genrsa -out secure.domain.com.key 2048
openssl req -new -key secure.domain.com.key -out secure.domain.com.csr
#In answer to question `Common Name (e.g. server FQDN or YOUR name) []:` you should set `secure.domain.com` (your real domain name)
openssl x509 -req -in secure.domain.com.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -days 365 -out secure.domain.com.crt

автор: Jérôme CARRE · Accepted Answer · 2017-07-06 18:17:10

если сертификат самозаверяющий, необходимо добавить следующую опцию:

TLSClientConfig: &tls.Config{
   RootCAs:      caCertPool,
   InsecureSkipVerify: true,
},