Go TLS Dial: Gagal Bersambung dengan Sijil X509 Bergantung pada Medan Nama Biasa Legasi
Isu ini timbul apabila cuba menyambung ke pelayan menggunakan TLS dalam Golang dan sijil pelayan bergantung pada medan Nama Biasa (CN) warisan untuk pengenalan. Pustaka Golang standard menyemak untuk Nama Alternatif Subjek (SAN) sebaliknya.
Punca:
Secara lalai, masa jalan Golang mengesahkan bahawa sijil pelayan membentangkan SAN, mengikut yang terbaik amalan keselamatan. Jika sijil tidak mempunyai SAN dan sebaliknya bergantung pada medan CN untuk pengenalan, masa jalan Go menolak sambungan, memaparkan mesej ralat:
failed to connect: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0
Resolusi:
Untuk menyelesaikan isu ini, anda mempunyai dua pilihan:
1. Ubah suai Sijil Pelayan untuk Menggunakan SAN:
Jana semula sijil pelayan untuk memasukkan SAN yang sepadan dengan nama hos atau alamat IP yang akan digunakan pelanggan untuk menyambung. Ini melibatkan penggunaan arahan pihak berkuasa sijil (CA) dan OpenSSL untuk mencipta sijil dengan SAN yang sesuai.
2. Lumpuhkan Padanan CN Buat Sementara:
Anda boleh melumpuhkan sementara semakan masa jalan Go untuk SAN dengan menetapkan pembolehubah persekitaran GODEBUG seperti:
GODEBUG=x509ignoreCN=0 go run your_program.go
Nota: Melumpuhkan padanan CN bukanlah penyelesaian yang disyorkan, kerana ia mengurangkan keselamatan sambungan TLS anda dengan membenarkan sijil dengan CN tetapi tiada SAN diterima.
Atas ialah kandungan terperinci Mengapa Dail TLS My Go Gagal dengan \'x509: sijil bergantung pada medan Nama Biasa\' legasi?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!