作为标题,有没有办法在 Go 中信任自签名证书? 场景描述: 我设置了一个 https 服务器,它使用自签名证书。当我想用 go 客户端调用这个服务器时,go 需要信任这个自签名证书。
答案 0 :(得分:3)
信任自签名证书(服务器向自己展示)意味着 https 客户端必须能够验证自签名证书是由受信任的机构颁发的 - 即用于签署服务器证书的 CA 需要由客户端验证受信任的 CA 列表。此列表可以由客户端自己管理,也可以由客户端利用操作系统受信任的 CA 存储来获取此列表。
客户端信任操作系统不信任的额外 CA 的第一个选项可以通过获取操作系统信任的证书并在其中附加额外的 CA cert 来实现,如下所示:
rootCAs, _ := x509.SystemCertPool()
// handle case where rootCAs == nil and create an empty pool...
if ok := rootCAs.AppendCertsFromPEM(cert); !ok {
...
}
config := &tls.Config{
InsecureSkipVerify: *insecure,
RootCAs: rootCAs,
}
tr := &http.Transport{TLSClientConfig: config}
client := &http.Client{Transport: tr}
第二个选项取决于操作系统(您没有指定您正在使用的操作系统)。在例如Linux Go 在 these locations 中查找受信任的 CA,因此您需要在那里安装用于签署服务器证书的 CA(这因操作系统甚至操作系统的分发而异 - 您将在操作系统文档中找到如何执行此操作)。