3

我有一个 go 服务,它向我无法控制的 HTTP 服务器发出 REST 请求。一位客户要求我“确认”我的服务是通过 TLS 1.2 连接的。那是我可以在代码中做的事情吗?

当前代码如下所示:

request, _ := http.NewRequest("PUT",
    "https://example.com/path/to/endpoint",
    bytes.NewReader(json))

client := &http.Client{}

response, _ := client.Do(request)
defer response.Body.Close()

str, err := ioutil.ReadAll(response.Body)

基于对文档的快速阅读,我相信我需要使用 aTransport并使用该传输构建我的客户端。像这样的东西:

tr := &http.Transport{
    ... some options here ...
}
client := &http.Client{Transport: tr}

但我不确定我应该设置哪些选项。

4

2 回答 2

6

在撰写本文时,如果服务器支持,Go 将自动使用 TLS 1.2。

tls.ConnectionState报告连接的各种协商 TLS 参数,包括协议版本。

要获得 HTTP 客户端的底层 TLS 连接,最简单的方法是将 的DialTLS字段设置为Transport建立并记住连接的函数。响应到达后(但在您关闭响应正文之前!),调用tls.Conn.ConnectionState

package main

import (
    "crypto/tls"
    "fmt"
    "log"
    "net"
    "net/http"
)

func main() {
    var (
        conn *tls.Conn
        err  error
    )

    tlsConfig := http.DefaultTransport.(*http.Transport).TLSClientConfig

    c := &http.Client{
        Transport: &http.Transport{
            DialTLS: func(network, addr string) (net.Conn, error) {
                conn, err = tls.Dial(network, addr, tlsConfig)
                return conn, err
            },
        },
    }

    res, err := c.Get("https://example.com")
    if err != nil {
        log.Fatal(err)
    }

    versions := map[uint16]string{
        tls.VersionSSL30: "SSL",
        tls.VersionTLS10: "TLS 1.0",
        tls.VersionTLS11: "TLS 1.1",
        tls.VersionTLS12: "TLS 1.2",
    }

    fmt.Println(res.Request.URL)
    fmt.Println(res.Status)
    v := conn.ConnectionState().Version
    fmt.Println(versions[v])

    res.Body.Close()
}

// Output:
// https://example.com
// 200 OK
// TLS 1.2
于 2018-09-12T15:42:57.143 回答
2

文档

包 tls 部分实现 TLS 1.2,如 RFC 5246 中所指定。

也就是说,我将此功能保留为片段以创建必要的配置:

func NewTLSConfig(clientCertFile, clientKeyFile, caCertFile string) (*tls.Config, error) {
 tlsConfig := tls.Config{}

 // Load client cert
 cert, err := tls.LoadX509KeyPair(clientCertFile, clientKeyFile)
 if err != nil {
  return &tlsConfig, err
 }
 tlsConfig.Certificates = []tls.Certificate{cert}

 // Load CA cert
 caCert, err := ioutil.ReadFile(caCertFile)
 if err != nil {
  return &tlsConfig, err
 }
 caCertPool := x509.NewCertPool()
 caCertPool.AppendCertsFromPEM(caCert)
 tlsConfig.RootCAs = caCertPool

 tlsConfig.BuildNameToCertificate()
 return &tlsConfig, err
}

之后,您只需要初始化传输:

transport := &http.Transport{TLSClientConfig: tlsConfig}
client := &http.Client{Transport: transport}
于 2018-09-12T15:29:05.600 回答