Go TLS 拨号:无法连接依赖于旧版通用名称字段的 X509 证书
尝试连接到服务器时会出现此问题在 Golang 中使用 TLS,服务器的证书依赖于旧版通用名称 (CN) 字段进行识别。标准 Golang 库会检查主题备用名称 (SAN)。
原因:
默认情况下,Golang 运行时会根据最佳方式验证服务器证书是否存在 SAN安全实践。如果证书缺少 SAN,而是依赖 CN 字段进行标识,Go 运行时将拒绝连接,并显示错误消息:
failed to connect: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0
解决方案:
要解决此问题,您有两个选择:
1。修改服务器证书以使用 SAN:
重新生成服务器证书以包含与客户端将用于连接的主机名或 IP 地址相对应的 SAN。这涉及使用证书颁发机构 (CA) 和 OpenSSL 命令来创建具有适当 SAN 的证书。
2.暂时禁用 CN 匹配:
您可以通过设置 GODEBUG 环境变量来临时禁用 Go 运行时对 SAN 的检查,如下所示:
GODEBUG=x509ignoreCN=0 go run your_program.go
注意:禁用 CN 匹配不是推荐的解决方案,因为它允许接受具有 CN 但不接受 SAN 的证书,从而降低了 TLS 连接的安全性。
以上是为什么 My Go TLS 拨号失败并显示'x509:证书依赖于旧版通用名称字段”?的详细内容。更多信息请关注PHP中文网其他相关文章!
