golang实现openssl自签名双向认证的详细步骤

在Go语言中实现OpenSSL自签名双向认证，你需要完成以下步骤：

1. 生成自签名根证书

首先，你需要使用OpenSSL生成一个自签名的根证书，这个证书将被用作签发其他证书的CA（证书颁发机构）。

openssl req -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt -days 3650 -nodes

这个命令会生成一个有效期为3650天的自签名根证书ca.crt和对应的私钥ca.key。

2. 生成服务器私钥和证书签名请求（CSR）

接下来，为服务器生成一个私钥和证书签名请求（CSR）。CSR中包含了服务器的信息，如组织名、域名等。

openssl req -new -keyout server.key -out server.csr -newkey rsa:2048

在执行这个命令时，系统会提示你输入一些信息，如国家代码、组织名、公共名称（通常是服务器的域名）等。

3. 使用根证书签发服务器证书

使用上一步生成的CSR和根证书，签发服务器证书。

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

这个命令会生成服务器证书server.crt，有效期为365天。

4. 生成客户端私钥和CSR

与服务器类似，为客户端生成私钥和CSR。

openssl req -new -keyout client.key -out client.csr -newkey rsa:2048

5. 使用根证书签发客户端证书

使用根证书签发客户端证书。

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365

这个命令会生成客户端证书client.crt，有效期为365天。

6. 在Go中配置TLS

在Go程序中，你可以使用crypto/tls包来配置TLS，使用自签名证书进行双向认证。

package main

import (
    "crypto/tls"
    "crypto/x509"
    "io/ioutil"
    "log"
    "net"
)

func main() {
    // 读取证书文件
    cert, err := tls.LoadX509KeyPair("server.crt", "server.key")
    if err != nil {
        log.Fatal(err)
    }

    // 读取根证书用于验证客户端证书
    caCert, err := ioutil.ReadFile("ca.crt")
    if err != nil {
        log.Fatal(err)
    }
    caCertPool := x509.NewCertPool()
    if !caCertPool.AppendCertsFromPEM(caCert) {
        log.Fatal("Failed to append CA certificate to the pool")
    }

    // 配置TLS
    config := &tls.Config{
        Certificates: []tls.Certificate{cert},
        ClientCAs:     caCertPool,
        ClientAuth:   tls.RequireAndVerifyClientCert,
    }

    // 创建TLS监听
    listener, err := tls.NewListener(net.Listen("tcp", ":443"), config)
    if err != nil {
        log.Fatal(err)
    }

    // 启动服务器
    log.Println("Server listening on :443")
    err = listener.Accept()
    if err != nil {
        log.Fatal(err)
    }
}

7. 客户端配置

客户端也需要配置TLS，使用客户端证书和根证书来建立安全的连接。

package main

import (
    "crypto/tls"
    "crypto/x509"
    "io/ioutil"
    "log"
    "net"
)

func main() {
    // 读取客户端证书
    cert, err := tls.LoadX509KeyPair("client.crt", "client.key")
    if err != nil {
        log.Fatal(err)
    }

    // 读取根证书用于验证服务器证书
    caCert, err := ioutil.ReadFile("ca.crt")
    if err != nil {
        log.Fatal(err)
    }
    caCertPool := x509.NewCertPool()
    if !caCertPool.AppendCertsFromPEM(caCert) {
        log.Fatal("Failed to append CA certificate to the pool")
    }

    // 配置TLS
    config := &tls.Config{
        Certificates: []tls.Certificate{cert},
        RootCAs:      caCertPool,
    }

    // 建立TLS连接
    conn, err := tls.Dial("tcp", "server_address:443", config)
    if err != nil {
        log.Fatal(err)
    }
    defer conn.Close()

    // 通信...
}

8. 测试双向认证

启动你的服务器和客户端程序，测试它们是否能够通过双向认证建立安全的连接。

总结

以上是在Go语言中使用OpenSSL实现自签名双向认证的详细步骤。通过生成根证书、服务器证书、客户端证书，并在Go程序中配置TLS，你可以建立一个安全的通信通道。在实际应用中，你需要确保证书文件的安全存储和传输，并在必要时更新证书。此外，你还需要确保客户端和服务器都信任彼此的证书，这通常意味着它们都需要加载对方证书的根证书。