在使用 Golang 进行 HTTPS 请求时,需要安装 SSL 证书。否则,会出现类似如下的错误:
x509: certificate signed by unknown authority
在 Golang 中,使用了标准库中的 net/http 包来进行 HTTP(S) 请求。而这个包的默认行为是要验证服务器的证书。如果服务器的证书不在 Golang 内置的可信证书列表中,Golang 就会报上述错误。
为了解决这个问题,我们需要安装服务器证书。
1. 下载证书
使用 openssl 命令从远程服务器下载证书,如下:
openssl s_client -connect example.com:443 < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.com.crt
其中,example.com 为需要下载证书的域名。这个命令会从 example.com 的 443 端口下载证书,并存储为 example.com.crt 文件。
2. 安装证书
将下载好的证书添加到 Golang 的可信证书列表中,有两种方法:
2.1 方式一:添加到系统证书库
将证书添加到系统证书库中,让 Golang 自动识别。
以 Ubuntu 为例,将证书复制到系统 CA 存储位置下:
sudo cp example.com.crt /usr/local/share/ca-certificates/
然后更新证书:
sudo update-ca-certificates
2.2 方式二:手动添加证书到 Golang 内置证书库
将证书添加到 Golang 内置证书库的根证书池中,可以通过以下方式实现。
package main
import (
"crypto/tls"
"crypto/x509"
"io/ioutil"
"fmt"
"net/http"
)
func main() {
// 从文件载入证书
cert, err := ioutil.ReadFile("example.com.crt")
if err != nil {
fmt.Println(err)
return
}
pool := x509.NewCertPool()
// 将证书添加到根证书池中
if ok := pool.AppendCertsFromPEM(cert); !ok {
fmt.Println("Failed to parse root certificate")
return
}
tr := &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: pool,
},
}
client := &http.Client{Transport: tr}
_, err = client.Get("https://example.com")
if err != nil {
fmt.Println(err)
return
}
fmt.Println("Success")
}该程序会加载 example.com.crt 文件并将其添加到根证书池中。然后使用这个证书来访问 example.com 网站。如果加载证书成功,则会输出 "Success"。
3. 验证证书是否安装成功
运行以下代码:
package main
import (
"crypto/tls"
"fmt"
"net/http"
)
func main() {
resp, err := http.Get("https://example.com")
if err != nil {
fmt.Println(err)
return
}
defer resp.Body.Close()
fmt.Println(resp.Status)
}如果返回状态码为 200,则表示证书已经安装成功。否则,可能还需要检查证书或网络等其他问题。
以上就是在 Golang 中安装 SSL 证书的方法。在实际工作中,使用方式一比较常见,因为一般都会有系统管理员负责维护系统证书库。而方式二则适用于一些特殊情况。