Golang使用crypto/tls包实现SSL/TLS协议的TCP服务器

原创 Youfang Xi 开源螺丝钉

在网络通信中，安全性至关重要。SSL/TLS协议是一种广泛使用的加密通信协议，用于保护敏感数据的传输。在本文中，我们将介绍如何使用Golang编程语言实现一个SSL/TLS协议的服务器，以确保我们的网络通信是安全可靠的。

1. SSL/TLS简介

SSL/TLS（Secure Sockets Layer/Transport Layer Security）是一组加密协议，用于在计算机网络上提供安全的数据传输。它们位于传输层，确保在客户端和服务器之间的通信过程中数据的机密性、完整性和身份验证。

2. Golang中的SSL/TLS支持

Golang是一种简洁而高效的编程语言，它提供了强大的网络编程能力和对SSL/TLS的支持。标准库中的"crypto/tls"包提供了SSL/TLS协议的实现，使我们能够轻松地构建安全的网络应用程序。

3. 使用openssl创建数字证书

创建根证书

# 生成根证书私钥openssl genrsa -out ca.key 2048# 使用私钥创建根证书openssl req -new -x509 -days 36500 -key ca.key -out ca.crt

创建SSL证书

# 生成SSL私钥openssl genrsa -out server.key 2048# 使用私钥生成证书签发请求openssl req -new -key server.key -out server.csr# 创建签署证书相关目录和文件mkdir demoCA &&cd demoCA&&mkdir newcerts&&echo '10' > serial &&touch index.txt&&cd ..# 使用根证书签署SSL证书openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key# 查看证书openssl x509 -in server.crt -noout -text

Mac系统如果根证书签署SSL证书时报错：

Using configuration from /private/etc/ssl/openssl.cnfvariable lookup failed for ca::default_ca140704333022784:error:0EFFF06C:configuration file routines:CRYPTO_internal:no value:/AppleInternal/Library/BuildRoots/c2cb9645-dafc-11ed-aa26-6ec1e3b3f7b3/Library/Caches/com.apple.xbs/Sources/libressl/libressl-3.3/crypto/conf/conf_lib.c:322:group=ca name=default_ca

是因为系统默认的openssl使用的/private/etc/ssl/openssl.cnf配置文件中缺失 default_ca 的配置。

解决方法：使用 brew 安装的openssl而不使用系统默认的openssl, brew 安装好 openssl后在终端执行命令

export PATH="/usr/local/opt/openssl@1.1/bin:$PATH"

4. 使用Golang创建SSL/TLS的TCP服务器

使用"crypto/tls"包，我们可以轻松地为我们的服务器生成自签名的证书，并将其用于SSL/TLS连接。

package main
import (  "crypto/tls"  "github.com/sirupsen/logrus"  "log"  "net")
func handleConnection(conn net.Conn) {  defer conn.Close()  buffer := make([]byte, 1024)  for {    l, err := conn.Read(buffer)    if err != nil {      log.Println(err.Error())      break    }    logrus.Infoln("Receive Data: %s\n", string(buffer[:l]))  }  logrus.Infoln("Client " + conn.RemoteAddr().String() + " Connection Closed.....")}
func main() {  port := "8888"  crt, err := tls.LoadX509KeyPair("server.crt", "server.key")  if err != nil {    log.Fatalln(err.Error())  }  tlsConfig := &tls.Config{}  tlsConfig.Certificates = []tls.Certificate{crt}  ln, err := tls.Listen("tcp", ":"+port, tlsConfig)  if err != nil {    logrus.Fatalf("TCP server failed to listen on port %s. Error: %s", port, err.Error())  }  logrus.Infof("TCP server listening on port %s", port)  defer ln.Close()  for {    conn, err := ln.Accept()    if err != nil {      logrus.Fatalf("TCP server failed to accept connection on port %s. Error: %v", port, err)    } else {      go handleConnection(conn)    }  }}

运行结果：

INFO[0000] TCP server listening on port 8888            INFO[0221] Receive Data: %s Hello SSL/TLS              2023/06/25 21:33:52 EOFINFO[0221] Client 127.0.0.1:50909 Connection Closed..... INFO[0271] Receive Data: %s Hello SSL/TLS              2023/06/25 21:34:41 EOFINFO[0271] Client 127.0.0.1:50915 Connection Closed.....

5. 客户端代码

客户端需要配置InsecureSkipVerify参数，该参数表示客户端跳过对证书链的校验，因为CA证书是不是自己生成的，不是系统信任的证书。

package mainimport (  "crypto/tls"  "io"  "log")
func main() {  conf := &tls.Config{    InsecureSkipVerify: true,  }  conn, err := tls.Dial("tcp", "127.0.0.1:8888", conf)  if err != nil {    log.Fatalln(err.Error())  }  defer conn.Close()  io.WriteString(conn, "Hello SSL/TLS")}

6. 结论

通过使用Golang的"crypto/tls"包，我们成功地实现了一个使用SSL/TLS协议的TCP服务器。通过加载证书和私钥，我们确保了安全的通信连接，并且可以进行安全的数据传输。

SSL/TLS协议在保护网络通信方面起着重要作用，它使得数据在传输过程中免受窃听和篡改的风险。通过掌握Golang中的SSL/TLS支持，我们可以构建安全可靠的网络应用程序。

继续滑动看下一个