前言

假设一个场景,服务端部署在内网,客户端需要通过暴露在公网的nginx与服务端进行通信。为了避免在公网进行 http 明文通信造成的信息泄露,nginx与客户端之间的通信应当使用 https 协议,并且nginx也要验证客户端的身份,也就是mTLS双向加密认证通信。

这条通信链路有三个角色:服务端、Nginx、客户端。

  • 服务端部署在内网,与nginx使用http通信。
  • 客户端在公网,与nginx使用https通信,且双向加密认证。

服务端

服务端只使用http,所以这里用gin框架写个简单的示例,返回客户端一些基本的http信息,比如客户端IP、请求方法、host等。

package main

import (

	"log"

	"net/http"

	"time"

	"github.com/gin-gonic/gin"

)

/* 中间件: 获取api处理时长 */

func midElapsed(c *gin.Context) {

	start := time.Now()

	c.Next()

	elapsed := time.Since(start)

	log.Printf("API: %s, elapsed: %s", c.Request.URL.Path, elapsed)

}

/* 处理 GET / 请求 */

func f1(c *gin.Context) {

	// 获取客户端IP

	clientIP := c.ClientIP()

	// 获取请求方法

	method := c.Request.Method

	// 获取协议

	proto := c.Request.Proto

	// 获取host

	host := c.Request.Host

	// 请求Path

	path := c.Request.URL.Path

	log.Printf("客户端IP: %s, 请求方法: %s, 协议: %s, host: %s, path: %s", clientIP, method, proto, host, path)

	// 获取请求头

	headers := c.Request.Header

	for hk, hv := range headers {

		log.Printf("header key: %s, value: %s", hk, hv)

	}

	// 获取名为"mycookie"的cookie

	var cookies []string

	cookie, err := c.Cookie("mycookie")

	if err != nil {

		log.Printf("get cookie [mycookie] error: %s", err)

	} else {

		log.Printf("get cookie [mycookie]: %s", cookie)

		cookies = append(cookies, cookie)

	}

	c.JSON(http.StatusOK, gin.H{

		"clientIP": clientIP,

		"method":   method,

		"proto":    proto,

		"host":     host,

		"headers":  headers,

		"cookies":  cookies,

		"path":     path,

	})

}

func main() {

	r := gin.Default()

	r.Use(midElapsed) // 全局引用计算耗时的中间件

	r.GET("/", f1)

	r.Run("0.0.0.0:8080")

}

生成证书

  1. 生成ca根证书。生成过程会要求填写密码、CN、ON、OU等信息,记住密码,填写的信息也要和下一步openssl.cnf文件内容一致。
openssl req -x509 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3650
  1. 新建并编辑文件openssl.cnf文件。req_distinguished_name中内容按需填写,DNS.1要替换成实际域名。
[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

prompt = no

[req_distinguished_name]

countryName = CN

stateOrProvinceName = Anhui

localityName = Hefei

organizationName = zhangsan

commonName = qw.er.com

[v3_req]

subjectAltName = @alt_names

[alt_names]

DNS.1 = qw.er.com
  1. 生成服务端证书
openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf
  1. 生成客户端证书
openssl req -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in client.csr -out client.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf

Nginx配置

nginx反向代理服务端的配置示例如下

server {

    listen 80 ssl;

    server_name qw.er.com;

    ssl_certificate /home/atlas/apps/nginx/certs/qwer/server.crt;

    ssl_certificate_key /home/atlas/apps/nginx/certs/qwer/server.key;

    # 校验客户端证书

    ssl_verify_client on;

    ssl_client_certificate /home/atlas/apps/nginx/certs/qwer/ca.crt;

    location / {

        proxy_set_header Host $host;

        proxy_set_header X-real-ip $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_pass http://192.168.0.10:8080; # 服务端地址

    }

}

客户端

以下示例使用命令行传参的方式,指定tls证书文件和是否使用tls通信。

package main

import (

	"crypto/tls"

	"crypto/x509"

	"flag"

	"io"

	"log"

	"net/http"

	"os"

	"time"

)

var (

	cafile  = flag.String("cafile", "ca.crt", "ca 证书文件")

	crtfile = flag.String("crtfile", "client.crt", "客户端tls证书")

	keyfile = flag.String("keyfile", "client.key", "客户端tls私钥")

	url     = flag.String("url", "http://127.0.0.1:8080", "url")

	isTls   = flag.Bool("tls", false, "是否使用tls")

)

func tlsClient(cafile, crtfile, keyfile string) *http.Transport {

	// 加载证书和私钥

	clientCert, err := tls.LoadX509KeyPair(crtfile, keyfile)

	if err != nil {

		log.Fatalf("load key pair error: %s", err)

	}

	// 加载ca证书

	clientCA, err := os.ReadFile(cafile)

	if err != nil {

		log.Fatalf("load ca cert error: %s", err)

	}

	// 创建根证书池并添加ca证书

	caCertPool := x509.NewCertPool()

	caCertPool.AppendCertsFromPEM(clientCA)

	// 创建transport

	tr := &http.Transport{

		TLSClientConfig: &tls.Config{

			Certificates: []tls.Certificate{clientCert},

			RootCAs:      caCertPool,

		},

	}

	return tr

}

func main() {

	flag.Parse()

	req, err := http.NewRequest("GET", *url, nil)

	if err != nil {

		log.Fatalf("new request error: %s", err)

	}

	// 自定义HTTP请求头

	req.Header.Set("myheader1", "myheader1value123")

	// 自定义一个cookie对象

	cookie := &http.Cookie{

		Name: "mycookie",

		Value: "mycookievalue",

	}

	req.AddCookie(cookie)

	client := &http.Client{

		Timeout: time.Second * 5,

	}

	if *isTls {

		client.Transport = tlsClient(*cafile, *crtfile, *keyfile)

	}

	resp, err := client.Do(req)

	if err != nil {

		log.Fatalf("get error: %s", err)

	}

	defer resp.Body.Close()

	body, err := io.ReadAll(resp.Body)

	if err != nil {

		log.Fatalf("read error: %s", err)

	}

	log.Printf("body: %+v", string(body))

}

Nginx配置

server {

    listen 80 ssl;

    server_name qw.er.com;

    ssl_certificate /home/elifen/apps/nginx/certs/qwer/server.crt;

    ssl_certificate_key /home/elifen/apps/nginx/certs/qwer/server.key;

    ssl_verify_client on;

    ssl_client_certificate /home/elifen/apps/nginx/qwer/ca.crt;

    location / {

        proxy_set_header Host $host;

        proxy_set_header X-real-ip $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_pass http://192.168.0.10:8080;

    }

}

测试

这里需要先确保qw.er.com能被正常解析到nginx服务器,比如配置hosts文件或dns解析记录。

go run main.go -cafile ./ca.crt -crtfile ./client.crt -keyfile ./client.key -url 'https://qw.er.com:80/' -tls

输出示例

2023/08/07 17:34:51 body: {"clientIP":"192.168.0.11","cookies":["mycookievalue"],"headers":{"Accept-Encoding":["gzip"],"Connection":["close"],"Cookie":["mycookie=mycookievalue"],"Myheader1":["myheader1value123"],"User-Agent":["Go-http-client/1.1"],"X-Forwarded-For":["192.168.0.11"],"X-Real-Ip":["192.168.0.11"]},"host":"qw.er.com","method":"GET","path":"/","proto":"HTTP/1.0"}

[golang]使用mTLS双向加密认证http通信的更多相关文章

  1. 【HTTPS双向加密认证】

    HTTPS单向认证和双向认证 nearzk-osc 发布时间: 2015/07/30 15:27 阅读: 4177 收藏: 178 点赞: 6 评论: 3 一.背景&概念 HTTPS:在htt ...

  2. SSL构建单双向https认证

    1.  SSL基本介绍 我们常常在使用网上银行时看到的连接都是以“https”开始的,那么这个https是什么呢?这其实是表示目前连接使用了SSL进加密,能保证客户端到服务器端的通信都在被保护起来,那 ...

  3. 搭建私有CA并基于OpenSSL实现双向身份认证

    0x00 前言 互联网上的Web应用由于用户数目广泛,都是采用单向身份认证的,只需要客户端验证服务端的身份.但如果是企业内部的应用对接,客户端数量有限,可能就会要求对客户端也做身份验证,这时就需要一个 ...

  4. Linux的加密认证功能以及openssl详解

    一.详细介绍加密.解密技术 现在的加密/解密技术主要有三种:对称加密,非对称加密,和单向加密 这三种加密解密技术的组合就是现在电子商务的基础,它们三个有各自最适合的领域,而且所要完成的功能也是不同的, ...

  5. ATSHA204加密认证IC

    The Atmel® ATSHA204 is a full turnkey security device. It includes a 4.5Kb EEPROM divided into 16 sl ...

  6. 【WP开发】加密篇:双向加密

    说起双向加密,如果以前在.NET开发中弄过加/解密的朋友都不会陌生,常用的算法有DES.AES等.在RT应用程序中,也提供了加密相关的API,算法自然是一样的,只是API的封装方式不同罢了,因为RT不 ...

  7. 即时通信系统中如何实现:聊天消息加密,让通信更安全? 【低调赠送:QQ高仿版GG 4.5 最新源码】

    加密重要的通信消息,是一个常见的需求.在一些政府部门的即时通信软件中(如税务系统),对聊天消息进行加密是非常重要的一个功能,因为谈话中可能会涉及到机密的数据.我在最新的GG 4.5中,增加了对聊天消息 ...

  8. golang AES/ECB/PKCS5 加密解密 url-safe-base64

    因为项目的需要用到golang的一种特殊的加密解密算法AES/ECB/PKCS5,但是算法并没有包含在标准库中,经过多次失败的尝试,终于解码成功,特此分享: /* 描述 : golang AES/EC ...

  9. 《LDAP服务器和客户端的加密认证》RHEL6——第二篇 运维工程师必考

    服务端的配置: (基于原先配好的ldap服务器)打开加密认证: Iptables –F  setenforce 0 1.编辑ldap的配置文件:slapd.conf 2.启动ldap服务器: 3.切换 ...

  10. MySQL数据库的双向加密方式

    如果你正在运行使用MySQL的Web应用程序,那么你把密码或者其他敏感信息保存在应用程序里的机会就很大.保护这些数据免受或者窥探者的获取 是一个令人关注的重要问题,因为您既不能让未经授权的人员使用或者 ...

随机推荐

  1. 2022-11-17:组合两个表。请写出sql语句,执行结果是{“headers“: [“first_name“, “last_name“, “city“, “state“], “values“: [

    2022-11-17:组合两个表.请写出sql语句,执行结果是{"headers": ["first_name", "last_name", ...

  2. 2021-11-21:map[i][j] == 0,代表(i,j)是海洋,渡过的话代价是2, map[i][j] == 1,代表(i,j)是陆地,渡过的话代价是1, map[i][j] == 2,代表

    2021-11-21:map[i][j] == 0,代表(i,j)是海洋,渡过的话代价是2, map[i][j] == 1,代表(i,j)是陆地,渡过的话代价是1, map[i][j] == 2,代表 ...

  3. 2021-10-18:乘积最大子数组。给你一个整数数组 nums ,请你找出数组中乘积最大的连续子数组(该子数组中至少包含一个数字),并返回该子数组所对应的乘积。力扣152。

    2021-10-18:乘积最大子数组.给你一个整数数组 nums ,请你找出数组中乘积最大的连续子数组(该子数组中至少包含一个数字),并返回该子数组所对应的乘积.力扣152. 福大大 答案2021-1 ...

  4. LLM探索:GPT概念与几个常用参数 Top-k, Top-p, Temperature

    前言 上一篇文章介绍了几个开源LLM的环境搭建和本地部署,在使用ChatGPT接口或者自己本地部署的LLM大模型的时候,经常会遇到这几个参数,本文简单介绍一下~ temperature top_p t ...

  5. [vuex] unknown action type:***

    vuex 分模块后使用mapActions调用action老是提示 [vuex] unknown action type:*** 异常 目录 index.js是这样的 import Vue from ...

  6. 对promise的简单理解

    随着ES6的推行它的许多新特性受到了广大开发者的好评,比如promise,为什么使用这个promise呢,他具体能帮我们做些啥? 其实从字面意思上来理解promise就是承诺,比如:你命令你的手下本月 ...

  7. 谷歌语法Github及利用方式

    0x01简介 GoogleHack(谷歌语法)是指使用Google等搜索引擎对某些特定的网络主机漏洞(通常是服务器上的脚本漏洞)进行搜索,以达到快速找到漏洞主机或特定主机的漏洞的目的.比如使用搜索包含 ...

  8. 自学FHQ-treap的草稿

    更新:能过模板题(和加强版)的代码: 普通平衡树: (请自行实现读入和输出函数) 点击查看代码 #include <iostream> #include <random> #i ...

  9. “AI Earth”人工智能创新挑战赛:助力精准气象和海洋预测Baseline[1]、NetCDF4使用教学、Xarray 使用教学,针对气象领域.nc文件读取处理

    1."AI Earth"人工智能创新挑战赛:助力精准气象和海洋预测Baseline[1].NetCDF4使用教学.Xarray 使用教学,针对气象领域.nc文件读取处理 比赛官网: ...

  10. 【GIS】图层中多个面要素融合成一个面要素

            对于那些利用GIS信息进行编辑,设计的GIS专业人士来说,桌面GIS占有主导地位.GIS专业人士使用标准桌面作为工具来设计,共享,管理和发布地理信息. ArcGIS Desktop是一 ...