J'ai de nombreux clients qui se connectent à mon point de terminaison TCP TLS à l'aide de différents certificats. J'essaie d'utiliser RequireAndVerifyClientCert
:
certPool := x509.NewCertPool() clientCACert, err := ioutil.ReadFile("client-ca.crt") if err != nil { log.Fatal(err) } certPool.AppendCertsFromPEM(clientCACert) // Create a base TLS config baseTLSConfig := &tls.Config{ ClientCAs: certPool, ClientAuth: tls.RequireAndVerifyClientCert, }
J'ai donc accès à ConnectionState().PeerCertificates[0]
并首先读取 clientCert.Subject.CommonName
avant de lui dire quel certificat de serveur et quelle clé utiliser. Autrement dit, chaque certificat CommonName nécessite un certificat et une clé différents côté serveur. Il ne s'agit pas simplement d'un certificat de serveur et d'une clé utilisés pour toutes les connexions.
listener, err := tls.Listen("tcp", ":8080", baseTLSConfig) for { conn, _ := listener.Accept() clientCert := conn.(*tls.Conn).ConnectionState().PeerCertificates[0] switch clientCert.Subject.CommonName {
Mais cette conversion échoue : (*tls.Conn)
并且我无法调用 ConnectionState
或者我进行另一个 tcp.Server 调用,但 len(PeerCertificates)
est nul. J'ai essayé :
GetConfigForClient: func(hello *tls.ClientHelloInfo) (*tls.Config, 错误) {
Transmettez-le à tls.RequireAndVerifyClientCert
ou autre, mais *tls.ClientHelloInfo n'a pas les informations dont j'ai besoin.
Il n'y a aucun moyen de décider quel certificat de serveur utiliser en fonction du certificat client.
Dans la négociation TLS, le serveur envoie d'abord son certificat de serveur, puis demande le certificat client et seulement après cela, le client envoie son certificat client au serveur.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!