使用Go实现TLSsocketserver

 安全传输层协议 TLS，以前称为 SSL(Secure Sockets Layer) ，由于HTTPS的推出受到了很多人的欢迎。但是正如TLS的名称 Transport Layer Security 所示的那样，它实际上是独立于 HTTP，一个更深入的安全协议，我们可以将 TLS 视为 TCP 的安全版本，其提供了对 socket 通信进行加密和签名的功能。在我们的日常开发中，会将 gRPC 协议运行在TLS之上以确保安全。

站在用户的角度思考问题，与客户深入沟通，找到南票网站设计与南票网站推广的解决方案，凭借多年的经验，让设计与互联网技术结合，创造个性化、用户体验好的作品，建站类型包括：成都网站建设、网站制作、企业官网、英文网站、手机端网站、网站推广、域名注册、网站空间、企业邮箱。业务覆盖南票地区。

今天我们来了解一下如何创建一个通过 TLS 加密的 socket 服务。

1.TLS socket server

服务端示例

 
 
 

  
  
  
func main() { 
  
  
  
  port := flag.String("port", "8360", "listening port") 
  
  
  
  certFile := flag.String("cert", "cert.pem", "certificate PEM file") 
  
  
  
  keyFile := flag.String("key", "key.pem", "key PEM file") 
  
  
  
  flag.Parse() 
  
  
  
  cert, err := tls.LoadX509KeyPair(*certFile, *keyFile) 
  
  
  
  if err != nil { 
  
  
  
    log.Fatal(err) 
  
  
  
  } 
  
  
  
  config := &tls.Config{Certificates: []tls.Certificate{cert}} 
  
  
  
  log.Printf("listening on port %s\n", *port) 
  
  
  
  l, err := tls.Listen("tcp", ":"+*port, config) 
  
  
  
  if err != nil { 
  
  
  
    log.Fatal(err) 
  
  
  
  } 
  
  
  
  defer l.Close() 
  
  
  
  for { 
  
  
  
    conn, err := l.Accept() 
  
  
  
    if err != nil { 
  
  
  
      log.Fatal(err) 
  
  
  
    } 
  
  
  
    log.Printf("accepted connection from %s\n", conn.RemoteAddr()) 
  
  
  
    go func(c net.Conn) { 
  
  
  
      io.Copy(c, c) 
  
  
  
      c.Close() 
  
  
  
      log.Printf("closing connection from %s\n", conn.RemoteAddr()) 
  
  
  
    }(conn) 
  
  
  
  } 
  
  
  
}
 
 
 

这个服务端程序接受来自多个客户端并发请求，并向客户端发送的所有的镜像数据。和非TLS服务相比，这里用 tls.Listen 替换了 net.Listen，同时需要提供一个可用的 tls.Config，我们可以使用 mkcert 命令来生成证书和密钥对文件。

2.TLS socket client

客户端示例:

 
 
 

  
  
  
func main() { 
  
  
  
  port := flag.String("port", "8360", "port to connect") 
  
  
  
  certFile := flag.String("certfile", "cert.pem", "trusted CA certificate")
  
  
  
  flag.Parse() 
  
  
  
  cert, err := os.ReadFile(*certFile) 
  
  
  
  if err != nil { 
  
  
  
    log.Fatal(err) 
  
  
  
  }
  
  
  
   certPool := x509.NewCertPool() 
  
  
  
  if ok := certPool.AppendCertsFromPEM(cert); !ok { 
  
  
  
    log.Fatalf("unable to parse cert from %s", *certFile) 
  
  
  
  } 
  
  
  
  config := &tls.Config{RootCAs: certPool} 
  
  
  
  conn, err := tls.Dial("tcp", "localhost:"+*port, config) 
  
  
  
  if err != nil { 
  
  
  
    log.Fatal(err) 
  
  
  
  } 
  
  
  
  _, err = io.WriteString(conn, "Hello simple secure Server\n") 
  
  
  
  if err != nil { 
  
  
  
    log.Fatal("client write error:", err) 
  
  
  
  } 
  
  
  
  if err = conn.CloseWrite(); err != nil { 
  
  
  
    log.Fatal(err) 
  
  
  
  } 
  
  
  
  buf := make([]byte, 256) 
  
  
  
  n, err := conn.Read(buf) 
  
  
  
  if err != nil && err != io.EOF { 
  
  
  
    log.Fatal(err) 
  
  
  
  } 
  
  
  
  fmt.Println("client read:", string(buf[:n])) 
  
  
  
  conn.Close() 
  
  
  
}
 
 
 

和非 TLS 客户端相比，我们同样也只是把 net.Dial 换成 tls.Dial, tls.Config 中填写的证书可以选择权威 ca 颁发的证书，也可以使用自签名证书。

3.证书链

一般来说，我们将自己生成的 CSR 提交给签名商，他们用中级证书机构的私钥 Private Key 给我们的签名成证书，Root CA 通过它的私钥对中级机构提交的CSR进行签名。

证书颁发机构是一个树形结构的。比如在验证我们证书X的有效性的时候，会一层层的去寻找颁发者的证书，直到自签名的根证书，然后通过相应的公钥再反过来验证下一级的数字签名的正确性。直到找到X证书，这就是证书链（Certificate Chains）。

我们可以使用以下程序检查任何服务器的证书链：

 
 
 

  
  
  
func main() { 
  
  
  
addr := flag.String("addr", "localhost:8360", "dial address") 
  
  
  
flag.Parse() 
  
  
  
cfg := tls.Config{} 
  
  
  
conn, err := tls.Dial("tcp", *addr, &cfg) 
  
  
  
if err != nil { 
  
  
  
log.Fatal("TLS connection failed: " + err.Error()) 
  
  
  
} 
  
  
  
defer conn.Close()  
  
  
  
certChain := conn.ConnectionState().PeerCertificates 
  
  
  
for i, cert := range certChain {
  
  
  
fmt.Println(i) 
  
  
  
fmt.Println("Issuer:", cert.Issuer) 
  
  
  
fmt.Println("Subject:", cert.Subject) 
  
  
  
fmt.Println("Version:", cert.Version) 
  
  
  
fmt.Println("NotAfter:", cert.NotAfter) 
  
  
  
fmt.Println("DNS names:", cert.DNSNames) 
  
  
  
fmt.Println("") 
  
  
  
} 
  
  
  
}
 
 
 

给定IP地址后，启动程序后会与服务器建立一条 TLS 连接，并上报其使用的证书给服务端。如果我们使用未处理过的自签的证书，TLS 服务端验证是通不过的。所以我们需要权威ca 颁发的证书，或者使用 mkcert 为我们的服务器生成证书来使他生效。

打开终端，执行 mkcert 命令：

 
 
 

  
  
  
  kangkai-iri ./mkcert localhost 
  
  
  
  kangkai-iri go run tls-socket-server.go -cert localhost.pem -key localhost-key.pem
 
 
 

新打开一个终端，运行 tls-dial-port:

 
 
 

  
  
  
  kangkai-iri go run tls-dial-port.go -addr localhost:4040
 
 
 

我们看到生成了证书 mkcert。由于 mkcert 将此证书添加到服务器的系统根存储中，直接使用 tls.Dial 将信任该证书。

分享标题：使用Go实现TLSsocketserver
分享URL：http://www.gawzjz.com/qtweb2/news41/24191.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联