TLS с сертификатом, секретным ключом и парольной фразой - PullRequest
Новая
       30

TLS с сертификатом, секретным ключом и парольной фразой

0 голосов
/ 14 мая 2019

Я интегрируюсь с сервером банка, который предоставил мне сертификаты. Я создаю файл pem из сертификатов, поэтому теперь у меня есть сертификаты, закрытый ключ в файле pem и фраза-пароль для ключа отдельно.

Вновь созданный файл pem работает для установления SSL-соединения с помощью команды OpenSSL следующим образом: 

openssl s_client -connect host:port -key key.pem -cert cert.pem

Эта команда запрашивает кодовую фразу, и я могу подключиться. Но я не могу подключиться к нему с помощью своего кода Go, который выглядит следующим образом: 

package main

import (
    "crypto/tls"
    "crypto/x509"
    "fmt"
    "net/http"
)

func main() {
    caCert := []byte(`certs pem data`) // this contains both private key and certificates
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(caCert)

    // Setup HTTPS client
    tlsConfig := &tls.Config{
        RootCAs:            caCertPool,
        InsecureSkipVerify: true,
    }
    tlsConfig.BuildNameToCertificate()
    transport := &http.Transport{TLSClientConfig: tlsConfig}
    client := &http.Client{Transport: transport}

    httpRequest, _ := http.NewRequest("GET", "https://test.com", nil)
    resp, err := client.Do(httpRequest)
    fmt.Printf("resp: [%v] \n Error: [%v]", resp, err)
}

Я также не уверен, куда добавить фразу-пароль в моем HTTP-запросе.

Я получаю ошибку: remote error: tls: bad certificate

1 Ответ

2 голосов
/ 14 мая 2019

Вы, похоже, путаете центры сертификации с сертификатами клиентов.Клиентские сертификаты доказывают серверу, что вы тот, кем вы себя называете (очень похоже на имя пользователя и пароль), а ЦС используются для того, чтобы вы знали, что говорите с правильным сервером.

Судя покоманда openssl, которая работает для вас, ваш банк дал вам сертификат клиента и ключ (хотя это весьма необычно; никто, кроме вас, никогда не должен держать ваш закрытый ключ и особенно пароль).

tls.Config.Certificates поле , если оно используется клиентом, используется для настройки клиентских сертификатов.

Сертификаты содержат одну или несколько цепочек сертификатов для представления другой стороне соединения.[...] Клиенты, выполняющие проверку подлинности клиента, могут устанавливать сертификаты или GetClientCertificate.

Сертификаты для TLS обычно загружаются с tls.LoadX509KeyPair или tls.X509KeyPair .Однако эти функции напрямую не поддерживают зашифрованные ключи.

Вместо этого вам необходимо самостоятельно загрузить ключ, расшифровать его, используя x509.DecryptPEMBlock , а затем вы можете использовать tls.X509KeyPair.

В следующем примере используется ключ EC, поскольку его кодировка короткая, но он работает с ключами RSA. 

package main

import (
    "crypto/tls"
    "crypto/x509"
    "encoding/pem"
    "fmt"
    "log"
    "net/http"
)

var bundle = []byte(`
-----BEGIN EC PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,99586A658F5D2DAC4A8A3CA387CF71CE

25EtKb7ycOI/5R47fYwpiaNERgYnCxCtcrMXJuOgueuxUXjiU0n93hpUpIQqaTLH
dDKhsR1UHvGJVTV4h577RQ+nEJ5z8K5Y9NWFqzfa/Q5SY43kqqoJ/fS/OCnTmH48
z4bL/dJBDE/a5HwJINgqQhGi9iUkCWUiPQxriJQ0i2s=
-----END EC PRIVATE KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
`)

func main() {
    keyBlock, certsPEM := pem.Decode(bundle)

    fmt.Println(x509.IsEncryptedPEMBlock(keyBlock)) // Output: true

    // Decrypt key
    keyDER, err := x509.DecryptPEMBlock(keyBlock, []byte("foobar"))
    if err != nil {
        log.Fatal(err)
    }

    // Update keyBlock with the plaintext bytes and clear the now obsolete
    // headers.
    keyBlock.Bytes = keyDER
    keyBlock.Headers = nil

    // Turn the key back into PEM format so we can leverage tls.X509KeyPair,
    // which will deal with the intricacies of error handling, different key
    // types, certificate chains, etc.
    keyPEM := pem.EncodeToMemory(keyBlock)

    cert, err := tls.X509KeyPair(certsPEM, keyPEM)
    if err != nil {
        log.Fatal(err)
    }

    config := &tls.Config{
        Certificates: []tls.Certificate{cert},
    }
}
...