golang 的http与https

介绍

HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议，是一个安全通信通道，它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。

HTTP和HTTPS的区别
    • HTTPS是加密传输协议，HTTP是名文传输协议
    • HTTPS需要用到SSL证书，而HTTP不用
    • HTTPS比HTTP更加安全，对搜索引擎更友好，利于SEO
    • HTTPS标准端口443，HTTP标准端口80
    • HTTPS基于传输层，HTTP基于应用层
    • HTTPS在浏览器显示绿色安全锁，HTTP没有显示

1.证书可以认为就是公钥；

2.在Https通信中，需要CA认证中心的证书以及服务器的证书和私钥；

3.服务器的证书是用来发送给客户端的；

4.CA认证中心的证书需要安装在客户机上，用来验证服务器证书的真实性

数字签名

1.对明文进行哈希，得到一串哈希值；

2.对第一步得到的哈希值用私钥加密

数字签名就是对服务器信息进行哈希，然后用CA认证中心的私钥加密的结果

数字证书

包含两部分内容：

1。服务器信息

2.数字签名

加密通信过程 真正的HTTPS通信并不是通过公钥和私钥加密的，公钥和私钥只用在握手过程中，当客户端请求到真正的公钥后，会生成一个随机数（对称密钥）并用公钥加密，发送给服务器，后续的通信就用对称密钥加密了。这样做的原因是对称密钥加解密过程太耗时了。

http

http server

示例:
package main
import (
    "fmt"
    "net/http"
)
func handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w,
     "Hi, This is an example of http service in golang!")
}
func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServe(":8080", nil)
}

http client

示例:
package main
import (
    "fmt"
    "io/ioutil"
    "net/http"
)
func main() {
    resp, err := http.Get("https://192.168.33.224:8080")
    if err != nil {
        fmt.Println("error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}

https

HTTPS证书

正式发布的时候，是需要购买正规的证书的。测试程序时，如果没有，我们可以使用openssl来生成私人的证书。

（1）首先我们先生成证书私钥 （生成CA私钥）(无加密)
openssl genrsa -out server.key 2048 //用于生成服务端私钥文件server.key，后面的参数2048单位是bit，是私钥的长度。

（2）根据私钥生成公钥
openssl rsa -in server.key -out server.key.public  //openssl生成的私钥中包含了公钥的信息，我们可以根据私钥生成公钥

（3）根据私钥生成证书 （生成CA证书）
openssl req -new -x509 -key server.key -out server.crt -days 365  //我们也可以根据私钥直接生成自签发的数字证书

注意以上命令是生成在当前文件夹下的

对服务端证书进行校验

建立我们自己的CA，需要生成一个CA私钥和一个CA的数字证书: 生成server端的私钥，生成数字证书请求，并用我们的ca私钥签发server的数字证书：

（1）生成客户端私钥 （生成CA私钥）
openssl genrsa -out ca.key 2048  //2048为长度

（2）生成CA证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=tonybai.com" -days 5000 -out ca.crt

接下来，生成server端的私钥，生成数字证书请求，并用我们的ca私钥签发server的数字证书：

（1）生成服务端私钥
openssl genrsa -out server.key 2048 //2048为长度

（2）生成证书请求文件
openssl req -new -key server.key -subj "/CN=localhost" -out server.csr

（3）根据CA的私钥和上面的证书请求文件生成服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000

https server

代码示例：
package main

import (
    "fmt"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w,
        "Hi, This is an example of https service in golang!   liuxin")
}

func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServeTLS(":8080", "/home/liuxin/Desktop/server.crt",
        "/home/liuxin/Desktop/server.key", nil)
}

https client

代码示例：
package main

import (
    "crypto/tls"
    "crypto/x509"
    "fmt"
    "io/ioutil"
    "net/http"
)

//客户端对服务器校验
func main() {
    //CertPool代表一个证书集合/证书池。
    //创建一个CertPool
    pool := x509.NewCertPool()
    caCertPath := "/home/liuxin/Desktop/ca.crt"
    //调用ca.crt文件
    caCrt, err := ioutil.ReadFile(caCertPath)
    if err != nil {
        fmt.Println("ReadFile err:", err)
        return
    }
    //解析证书
    pool.AppendCertsFromPEM(caCrt)

    tr := &http.Transport{
        ////把从服务器传过来的非叶子证书，添加到中间证书的池中，使用设置的根证书和中间证书对叶子证书进行验证。
        TLSClientConfig: &tls.Config{RootCAs: pool},

        //TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, //InsecureSkipVerify用来控制客户端是否证书和服务器主机名。如果设置为true,//       //则不会校验证书以及证书中的主机名和服务器主机名是否一致。

    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://localhost:8080")
    if err != nil {
        fmt.Println("Get error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}