本文为演示采用自签名证书
通过openssl工具生成证书
macos通过brew安装
brew install openssl
openssl genrsa -out ca.key 4096
vim ca.conf
内容如下
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName = Locality Name (eg, city)
localityName_default = NanJing
organizationName = Organization Name (eg, company)
organizationName_default = Sheld
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = Ted CA Test
生成根证书签发申请文件(csr文件)
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf该命令含义如下:
req——执行证书签发命令
-new——新证书签发请求
-key——指定私钥路径
-out——输出的csr文件的路径
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt该命令的含义如下:
x509——生成x509格式证书
-req——输入csr文件
-days——证书的有效期(天)
-signkey——签发证书的私钥
-in——要输入的csr文件
-out——输出的cer证书文件
openssl genrsa -out server.key 2048
vim server.conf
内容如下
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName = Locality Name (eg, city)
localityName_default = NanJing
organizationName = Organization Name (eg, company)
organizationName_default = Sheld
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server.com
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = server.com
生成服务端证书申请文件
openssl req -new -sha256 -out server.csr -key server.key -config server.conf参考1.3输入服务端证书信息
openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -extensions req_ext -extfile server.conf这里有必要解释一下这几个参数:
-CA——指定CA证书的路径
-CAkey——指定CA证书的私钥路径
-CAserial——指定证书序列号文件的路径
-CAcreateserial——表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀
openssl genrsa -out client.key 2048
vim client.conf
内容如下
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = HeNan
localityName = Locality Name (eg, city)
localityName_default = AnYang
organizationName = Organization Name (eg, company)
organizationName_default = Sheld_client
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = server.com
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = server.com
DNS.2 = localhost
生成客户端证书申请文件
openssl req -new -sha256 -out client.csr -key client.key -config client.conf
openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAserial ca.srl -in client.csr -out client.crt -extensions req_ext -extfile client.conf需要注意的是,上方签发服务端证书时已经使用-CAcreateserial生成过ca.srl文件,因此这里不需要带上这个参数了。
go get -u github.com/gin-gonic/gin
package main
import (
"github.com/gin-gonic/gin"
"net/http"
)
func main() {
router := gin.New()
router.GET("/test", func(c *gin.Context) {
c.JSON(200, gin.H{
"message": "success",
})
})
// 可以直接用
//router.RunTLS("0.0.0.0:10679", "./certs/server.cer", "./certs/server.key")
server := &http.Server{Addr: "0.0.0.0:10679", Handler: router}
_ = server.ListenAndServeTLS("./certs/server.cer", "./certs/server.key")
}
打开浏览器访问https://localhost:10679/test
因为浏览器并不信任证书的颁发机构,浏览器会有安全提示,当然可以点高级直接强行访问页面,同样可以返回结果,很多文章也是到这里就结束了。强迫症的我还是要解决一下。
本文选择firefox浏览器,因为设置可以轻松添加信任CA证书。chrome则是直接掉起系统的证书,没有找到友好的办法自己添加
我们把CA证书(1.4节生成的ca.csr)添加到firefox证书颁发机构中去,这样浏览器就信任我们自制的CA证书了。路径为:设置->隐私与安全->查看证书->导入
由于我们证书配置的common name是server.com,因此需要修改本地hosts文件,将下面文字添加到hosts文件中
127.0.0.1 server.com
再次访问https://server.com:10679/test不再阻止
package main
import (
"crypto/tls"
"crypto/x509"
"fmt"
"github.com/gin-gonic/gin"
"io/ioutil"
"log"
"net"
"net/http"
"os"
"os/signal"
"syscall"
)
var (
caCert string = "./certs/ca.crt"
serverCert string = "./certs/server.crt"
serverKey string = "./certs/server.key"
)
func main() {
router := gin.New()
router.Use(gin.Logger())
router.GET("/test", func(c *gin.Context) {
c.JSON(200, gin.H{
"message": "success",
})
})
// 客户端CA证书
certPool := x509.NewCertPool()
ca, err := os.ReadFile(caCert)
if err != nil {
fmt.Printf("load ca err: %s", err)
return
}
if ok := certPool.AppendCertsFromPEM(ca); !ok {
fmt.Printf("certpool append ca fail.")
return
}
// 可以直接用注释的代码代替最后两行
//router.RunTLS("0.0.0.0:10679", "./cert/server.cer", "./cert/server.key")
server := &http.Server{
Addr: "server.com:10679",
Handler: router,
TLSConfig: &tls.Config{
ClientAuth: tls.RequireAndVerifyClientCert,
//这里一定要注意,服务端设置ClientCAs,用于服务端验证客户端证书,客户端设置RootCAs,用户客户端验证服务端证书。设置错误或者设置反了都会造成认证不通过。
//RootCAs: certPool,
ClientCAs: certPool,
},
}
_ = server.ListenAndServeTLS(serverCert, serverKey)
}
package main
import (
"crypto/tls"
"crypto/x509"
"fmt"
"io/ioutil"
"log"
"net/http"
"os"
)
func main() {
pool := x509.NewCertPool()
caCrt, err := os.ReadFile("./certs/ca.crt")
if err != nil {
log.Fatal("read ca.crt file error:", err.Error())
}
pool.AppendCertsFromPEM(caCrt)
cliCrt, err := tls.LoadX509KeyPair("./certs/client.crt", "./certs/client.key")
if err != nil {
log.Fatalln("LoadX509KeyPair error:", err.Error())
}
tr := &http.Transport{
TLSClientConfig: &tls.Config{
//这里一定要注意,服务端设置ClientCAs,用于服务端验证客户端证书,客户端设置RootCAs,用户客户端验证服务端证书。设置错误或者设置反了都会造成认证不通过。
RootCAs: pool,
//ClientCAs: pool,
Certificates: []tls.Certificate{cliCrt},
},
}
client := &http.Client{Transport: tr}
resp, err := client.Get("https://server.com:10679/test")
if err != nil {
fmt.Printf("get failed. | err: %s\n", err)
return
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}
remote error: tls: bad certificate
这两个报错可能就是客户端或服务端设置参数ClientCAs、RootCAs错误有关。
服务端设置ClientCAs,里面保存客户端的CA证书Pool,用于服务端验证客户端证书。
客户端设置RootCAs,里面保存服务端的CA证书Pool,用户客户端验证服务端证书。
设置错误或者设置反了都会造成认证不通过。
这就属于知道就很简单解决,但找不到错误就很崩溃,本人因为这个小bug竟然熬了一夜,说多了都是泪啊啊啊啊。。。
这个报错原因是生成证书没有开启SAN扩展,go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书。 这就是1.6、1.9两节配置文件最下面做的事情。重新把证书生成一下。当然,自己生成的证书可以随便改,如果线上证书出现这种情况,我看有的说设置下环境变量GODEBUG 为 x509ignoreCN=0,不过我测试没有效果
这个问题的解决要感谢下面这个博主,我是看了这个帖子解决的问题。
https://blog.csdn.net/weixin_40280629/article/details/113563351
参考2.3解决办法
这个字段是比较重要的,不要随便配置。服务端、客户端证书认证都会验证host name是否与其一致,不一致会造成认证失败。这也是为什么要修改hosts并用server.com来访问
睡觉睡觉。。。
1.错误信息:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:requestcanceledwhilewaitingforconnection(Client.Timeoutexceededwhileawaitingheaders)或者:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:TLShandshaketimeout2.报错原因:docker使用的镜像网址默认为国外,下载容易超时,需要修改成国内镜像地址(首先阿里
//1.验证返回状态码是否是200pm.test("Statuscodeis200",function(){pm.response.to.have.status(200);});//2.验证返回body内是否含有某个值pm.test("Bodymatchesstring",function(){pm.expect(pm.response.text()).to.include("string_you_want_to_search");});//3.验证某个返回值是否是100pm.test("Yourtestname",function(){varjsonData=pm.response.json
我对图像处理完全陌生。我对JPEG内部是什么以及它是如何工作一无所知。我想知道,是否可以在某处找到执行以下简单操作的ruby代码:打开jpeg文件。遍历每个像素并将其颜色设置为fx绿色。将结果写入另一个文件。我对如何使用ruby-vips库实现这一点特别感兴趣https://github.com/ender672/ruby-vips我的目标-学习如何使用ruby-vips执行基本的图像处理操作(Gamma校正、亮度、色调……)任何指向比“helloworld”更复杂的工作示例的链接——比如ruby-vips的github页面上的链接,我们将不胜感激!如果有ruby-
我已经有很多两个值数组,例如下面的例子ary=[[1,2],[2,3],[1,3],[4,5],[5,6],[4,7],[7,8],[4,8]]我想把它们分组到[1,2,3],[4,5],[5,6],[4,7,8]因为意思是1和2有关系,2和3有关系,1和3有关系,所以1,2,3都有关系我如何通过ruby库或任何算法来做到这一点? 最佳答案 这是基本Bron–Kerboschalgorithm的Ruby实现:classGraphdefinitialize(edges)@edges=edgesenddeffind_maximum_
很高兴看到google代码:google-api-ruby-client项目,因为这对我来说意味着Ruby人员可以使用GoogleAPI-s来完善代码。虽然我现在很困惑,因为给出的唯一示例使用Buzz,并且根据我的实验,Google翻译(v2)api的行为必须与google-api-ruby-client中的Buzz完全不同。.我对“Explorer”演示示例很感兴趣——但据我所知,它并不是一个探索器。它所做的只是调用一个Buzz服务,然后浏览它已经知道的关于Buzz服务的事情。对我来说,Explorer应该让您“发现”所公开的服务和方法/功能,而不一定已经知道它们。我很想听听使用这个
我正在尝试在ruby脚本中连接到服务器https://www.xpiron.com/schedule。但是,当我尝试连接时:require'open-uri'doc=open('https://www.xpiron.com/schedule')我收到以下错误消息:OpenSSL::SSL::SSLError:SSL_connectreturned=1errno=0state=SSLv2/v3readserverhelloA:sslv3alertunexpectedmessagefrom/usr/local/lib/ruby/1.9.1/net/http.rb:678:in`conn
我已经按照https://github.com/wayneeseguin/rvm#installation上的说明通过RVM安装了Ruby.有关信息,我有所有文件(readline-5.2.tar.gz、readline-6.2.tar.gz、ruby-1.9.3-p327.tar.bz2、rubygems-1.8.24.tgz、wayneeseguin-rvm-stable.tgz和yaml-0.1.4.tar.gz)在~/.rvm/archives目录中,我不想在任何目录中重新下载它们方式。当我这样做时:sudo/usr/bin/apt-getinstallbuild-essent
我正在使用Rails3.2.6和Stipe进行支付。是否有可能在不购买ssl证书的情况下进行付款。我可以使用Stripe页面作为我的支付页面吗? 最佳答案 您可以使用stripe.js在技术上跳过SSL但我强烈建议您设置SSL。它所做的是将信用卡信息直接传递给stripe,然后stripe会给你一个token,用于实际进行收费。这样做意味着信用卡信息永远不会接触您的服务器,您不必担心PCI合规性。但是,您仍应设置SSL以防止中间人攻击。您可以在https://stripe.com/docs/tutorials/forms找到有关如何
我的Ruby-on-Rails项目中有以下文件结构,用于规范:/spec/msd/serviceservice_spec.rb/support/my_modulerequests_stubs.rb我的request_stubs.rb有:moduleMyModule::RequestsStubsmodule_functiondeflist_clientsurl="dummysite.com/clients"stub_request(:get,url).to_return(status:200,body:"clientsbody")endend在我的service_spec.rb我有:re
Ruby是否支持(找不到更好的词)非转义(逐字)字符串?就像在C#中一样:@"c:\ProgramFiles\"...或者在Tcl中:{c:\ProgramFiles\} 最佳答案 是的,您需要在字符串前加上%前缀,然后是描述其类型的单个字符。你想要的是%q{c:\programfiles\}。镐书很好地涵盖了这一点here,部分是通用分隔输入。 关于ruby-Ruby是否支持逐字字符串?,我们在StackOverflow上找到一个类似的问题: https:/