Comment obtenir clientCert.Subject.CommonName à partir de la poignée de main Golang TCP ?

Contenu de la question

J'ai de nombreux clients qui se connectent à mon point de terminaison TCP TLS à l'aide de différents certificats. J'essaie d'utiliser RequireAndVerifyClientCert :

certPool := x509.NewCertPool()
    clientCACert, err := ioutil.ReadFile("client-ca.crt")
    if err != nil {
        log.Fatal(err)
    }
    certPool.AppendCertsFromPEM(clientCACert)

    // Create a base TLS config
    baseTLSConfig := &tls.Config{
        ClientCAs:    certPool,
        ClientAuth:   tls.RequireAndVerifyClientCert,
    }

J'ai donc accès à ConnectionState().PeerCertificates[0] 并首先读取 clientCert.Subject.CommonName avant de lui dire quel certificat de serveur et quelle clé utiliser. Autrement dit, chaque certificat CommonName nécessite un certificat et une clé différents côté serveur. Il ne s'agit pas simplement d'un certificat de serveur et d'une clé utilisés pour toutes les connexions.

listener, err := tls.Listen("tcp", ":8080", baseTLSConfig)

    for {
        conn, _ := listener.Accept()
        clientCert := conn.(*tls.Conn).ConnectionState().PeerCertificates[0]
        switch clientCert.Subject.CommonName {

Mais cette conversion échoue : (*tls.Conn) 并且我无法调用 ConnectionState 或者我进行另一个 tcp.Server 调用，但 len(PeerCertificates) est nul. J'ai essayé :

GetConfigForClient: func(hello *tls.ClientHelloInfo) (*tls.Config, 错误) {

Transmettez-le à tls.RequireAndVerifyClientCert ou autre, mais *tls.ClientHelloInfo n'a pas les informations dont j'ai besoin.

Bonne réponse

Il n'y a aucun moyen de décider quel certificat de serveur utiliser en fonction du certificat client.

Dans la négociation TLS, le serveur envoie d'abord son certificat de serveur, puis demande le certificat client et seulement après cela, le client envoie son certificat client au serveur.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!