Golang TLS Server、Kube-Apiserver 校验客户端证书原理

最新推荐文章于 2026-05-31 06:51:04 发布
原创 最新推荐文章于 2026-05-31 06:51:04 发布 · 1.6k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#go #https #ssl
本文深入探讨了使用Golang实现TLS Server时,如何通过不同的ClientAuth策略来控制是否及如何验证客户端证书,揭示了即使配置了CA证书,Server端也不一定会校验客户端证书的细节。

当我们用Golang写一个TLS Server的时候,假设给Server端配置了CA证书,那么Server端一定会校验客户端的证书吗?答案是,即使我们给Server端配置了CA证书,Server端也不一定会校验客户端的证书

看一个TLS Server端的例子:

package main

import (
    "log"
    "crypto/tls"
    "net"
    "fmt"
    "crypto/x509"
    "bufio"
    "io/ioutil"
)

func main() {
    log.SetFlags(log.Lshortfile)

    cer, err := tls.LoadX509KeyPair("server.crt", "server.key")
    if err != nil {
        log.Println(err)
        return
    }

    ca, err := ioutil.ReadFile("client-CA.crt")
    
    pool := x509.NewCertPool()
    ok := pool.AppendCertsFromPEM(ca)
	if !ok {
		panic(fmt.Errorf("fail to load ca content"))
	}    

    
    tlsConfig := &tls.Config{
        ClientCAs:    pool,
        ClientAuth:  tls.RequireAnyClientCert,
        Certificates: []tls.Certificate{cer},
    }

    ln, err := tls.Listen("tcp", ":443", tlsConfig) 
    if err != nil {
        log.Println(err)
        return
    }
    defer ln.Close()

    for {
        conn, err := ln.Accept()
        if err != nil {
            log.Println(err)
            continue
        }
        go handleConnection(conn)
    }
}

func handleConnection(conn net.Conn) {
    defer conn.Close()
    r := bufio.NewReader(conn)
    for {
        msg, err := r.ReadString('\n')
        if err != nil {
            log.Println(err)
            return
        }

        println(msg)

        n, err := conn.Write([]byte("world\n"))
        if err != nil {
            log.Println(n, err)
            return
        }
    }
}

 

我们在tlsConfig中可以看到,配置了验证客户端正的CA ClientCAs,还有服务端的证书Certificates。除此之外还有一个很重要的字段——ClientAuth,在Golang中,ClientAuth决定了Server端如何验证客户端的证书。

// ClientAuthType declares the policy the server will follow for
// TLS Client Authentication.
type ClientAuthType int

const (
	NoClientCert ClientAuthType = iota
	RequestClientCert
	RequireAnyClientCert
	VerifyClientCertIfGiven
	RequireAndVerifyClientCert
)

 

ClientAuth有五种类型,分别是 NoClientCert、RequestClientCert、RequireAnyClientCert、VerifyClientCertIfGiven、RequireAndVerifyClientCert,各自的含义是:

 

  • NoClientCert:忽略任何客户端证书,即客户端可以不提供证书。
  • RequestClientCert:要求客户端提供证书,但是如果客户端没有提供证书,服务端还是会继续处理请求。
  • RequireAnyClientCert:需要客户端提供证书,但不用ClientCA来验证证书的有效性。
  • VerifyClientCertIfGiven:如果客户端提供了证书,则用ClientCA来验证证书的有效性。 如果客户端没提供,则会继续处理请求。
  • RequireAndVerifyClientCert:需要客户端提供证书,且会用ClientCA来验证证书的有效性。

 

在tlsConfig中如果不显式的指定ClientAuth,则默认值是NoClientCert。即使Server端配置了CA,也不会校验客户端证书。

 

在K8s中我们知道Kube-Apiserver是有多种认证方式的,包括账号密码、Token、证书等。其实它的ClientAuth设置的就是RequestClientCert。即在Tls这层是不强校验客户端证书的。这样才能保证Tls能接受多种来自客户端的凭据。

if s.ClientCA != nil {
		// Populate PeerCertificates in requests, but don't reject connections without certificates
		// This allows certificates to be validated by authenticators, while still allowing other auth types
		tlsConfig.ClientAuth = tls.RequestClientCert
	}

 

在windows下实现open***的user/pass及证书验证
qdwyj的专栏
04-17 4993
我这里用的最新的版本open***-install-2.4.8-I602-Win10,有些参数在老版本上是没有的。 下面先给出服务器端的配置文件server.ovpn,配置文件实现客户端固定IP和用户名密码验证。 port 443 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh2048.pem tls-au...
客户端认证服务端证书的过程
热门推荐
zxr的博客
03-30 1万+
https://www.cnblogs.com/zfxJava/p/5295957.html ### 消息-->[公钥]-->加密后的信息-->[私钥]-->消息 ### 加密:防窃听(私钥)(对签名加密,形成数字签名)(古典加密主要以保护算法为主,现代加密主要以保护密钥为主) 签名:防篡改(hash签名,并附加上原文一起发送)(权威机构给证书卡的一个章,即签名...
Golang 服务器端对客户端证书进行校验(双向证书校验
zhengzizhi的专栏
06-25 1万+
服务器端对客户端证书进行校验(双向证书校验),客户端访问服务器端,必须校验,如果跳过验证,客户端无法成功地建立与服务器之间的连接,也就是您在浏览器地址访问服务器api接口时,会同样象单向校验那样出现“Your connection is not secure”,即使您此时在浏览器页面上选择添加安全异常,也无法建立与服务器连接。
CentOS7部署网络跳转工具
不羁的风
06-08 881
1.安装依赖包 [root@les-net01 ~]# yum -y install epel-release [root@les-net01 ~]# yum -y install openvpn unzip wget lrzsz 2.下载openvpn并解压 [root@les-net01 ~]# mkdir -p /home/download/openvpn [root@les-net01 ~]# cd /home/download/openvpn/ [root@les-net01 openvpn
open*** openldap 脚本认证操作
weixin_34375233的博客
06-26 550
1.需要修改配置文件,添加如下内容: username-as-common-name script-security3 auth-user-pass-verify/etc/open***/ldap_auth.pyvia-env verify-client-certnone 2.编写脚本内容如下: ###############...
深入理解Kube-APIServer
Kason_iWiki
01-18 4278
文章目录API Server访问控制概览访问控制细节认证认证插件 API Server kube-apiserverKubernetes最重要的核心组件之一,主要提供以下的功能 • 提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等 • 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd) 访问控制概览 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及
kubernetes v1.21】(kube-apiserver 2)kube-apiserver 请求处理链路与认证授权超深度分析
zhonglinzhang
05-30 133
Part 2: kube-apiserver 请求处理链路与认证授权超深度分析
kubernetes v1.21】(二)kube-apiserver 超深度架构分析
zhonglinzhang
05-30 229
kube-apiserver 超深度架构分析
kubernetes v1.21】(kube-apiserver 5)API Aggregation、Endpoints路由与OpenAPI深度分析
最新发布
zhonglinzhang
05-31 183
Part 5: API Aggregation、Endpoints路由与OpenAPI深度分析
带入gRPC:基于 CATLS 证书认证
weixin_34175509的博客
10-08 1066
带入gRPC:基于 CATLS 证书认证 原文地址:带入gRPC:基于 CATLS 证书认证项目地址:https://github.com/EDDYCJY/go... 前言 在上一章节中,我们提出了一个问题。就是如何保证证书的可靠性和有效性?你如何确定你 Server、Client 的证书是对的呢? CA 为了保证证书的可靠性...
11.5 服务端配置文件解析
09-29 653
服务端配置文件最常见的路径在/etc/hyperledger/fabric-ca-server/fabric- ca-server-config.yaml,包括通用配置、TLS配置、CA配置、注册管理配置、数据库配置、LDAP配置、组织结构配置、签名、证书 申请等几个部分。1.通用配置包括服务监听的端口号,是否输出更多的DEBUG日志等:·port:7054:指定服务的监听端口;·debu...
使用Go实现TLS 服务器和客户端
dodod2012的专栏
06-16 2365
使用Go实现TLS 服务器和客户端 传输层安全协议(Transport Layer Security,缩写:TLS),及其前身安全套接层(Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。 SSL包含记录层(Record Layer)和传输层,记录层协议确定了传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥(Session key)。这个会谈密钥是用来将通信两方
Go实现tls的通信的简单代码例子
xuguokun1986的博客
01-17 3534
1、创建本地证书和秘钥,创建脚本如下 #!/bin/bash mkdir certs rm -rf certs/* echo "make server cert" openssl req -new -nodes -x509 -out certs/server.pem -keyout certs/server.key -days 3650 -subj "/C=DE/ST=NRW/L=Earth/
『每周译Go』手把手教你用 Go 实现一个 mTLS
Go中国
12-07 645
想知道什么是 mTLS(双向 TLS)?来吧,让我们用 Golang 和 OpenSSL 实现一个 mTLS。介绍TLS(安全传输层协议简称)为网络通信的应用程序提供必要的加密。HTTPS...
OpenVP* 设置账号密码登陆
一直被模仿,从未被超越
10-03 4415
1、配置OpenVPN vim /etc/openvpn/checkpsw.sh #!/bin/sh ########################################################### # checkpsw.sh (C) 2004 Mathias Sundman # # This script will authenticate OpenVPN user...
透彻理解TLS1.2
kevin的专栏
08-28 7419
通过理论理解TLS/SSL 背景 一些已有的协议通常安全问题,以HTTP为例来说明,HTTP在设计之初就没有考虑安全问题,它的目的就是数据传输和共享,HTTP协议三个安全问题如下: 数据没加密,是明文传输;而且TCP/IP的特点同时导致HTTP数据很容易被截获 无法验证身份。 数据易篡改:HTTP数据传输过程中,会经过很多节点,这些节点都可以修改原始数据,而对于客户端和服务器来说,没有任何技术来确保接收的数据就是发送者发送的原始数据 (也叫中间人攻击) 而要解决类似上面的这些安全问题,我们就需要.
码了2000多行代码就是为了讲清楚TLS握手流程
新世界杂货铺
11-28 790
来自公众号:新世界杂货铺 文章目录前言结论先行HTTPS单向认证HTTPS双向认证总结Client发送HelloMsgServer读HelloMsg&发送消息处理clientHelloMsg选择合适的证书以及签名算法计算握手阶段的密钥以及发送Server的参数发送Server证书以及签名发送finishedMsg并再次计算密钥Client读消息&发送消息读取serverHelloMsg并计算密钥处理Server发送的参数验证证书和签名处理finishedMsg并再次计算密钥Client发.
mysql 证书双向认证_使用自签CA,Server,client证书和双向认证
weixin_36433781的博客
02-18 531
服务端代码package mainimport ("crypto/tls""crypto/x509""google.golang.org/grpc""google.golang.org/grpc/credentials""grpcpro/services""io/ioutil""net")func main() {cert,_:=tls.LoadX509KeyPair("cert/serv...
使用golang进行证书签发和双向认证
weixin_34419326的博客
06-05 3487
前言 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书签发涉及到了非对称加密方面的知识,这里介绍使用golang中的x509标准库进行证书自签发,还有证书签发后如何使用golang进行双向认证. 自签发证书 生成根证书证书CA认证中心给自己颁发的证书,是信任链的起始点.这里我们自己做CA使用ope...
Golang TLS双向身份认证DoS漏洞分析(CVE-2018-16875) ...
测试0901-1
12-25 696
一、前言如果程序源代码使用Go语言编写,并且用到了单向或者双向TLS认证,那么就容易受到CPU拒绝服务(DoS)攻击。Go语言的crypto/x509标准库中的校验算法存在逻辑缺陷,攻击者可以精心构造输入数据,使校验算法在尝试验证客户端提供的TLS证书链时占用所有可用的CPU资源。 为了保护正常服务,大家应立即升级到G0 v1.10.6、v1.11.3或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值