程序开发 · 2023年12月2日

如何根据 Go 中的发行链验证证书?

当前位置: > > > > 如何根据 Go 中的发行链验证证书?

来源:stackoverflow
2024-05-01 21:21:35
0浏览
收藏

哈喽!大家好,很高兴又见面了,我是的一名作者,今天由我给大家带来一篇《如何根据 Go 中的发行链验证证书?》,本文主要会讲到等等知识点,希望大家一起学习进步,也欢迎大家关注、点赞、收藏、转发! 下面就一起来看看吧!

问题内容

我想根据发行链验证 pem 证书,该发行链也是一个 .pem 文件,其中包含多个由换行符分隔的证书,如本要点所示,https://gist.github.com/kurtpeek/8bf3282e344c781a20c5deadac75059f 。我已经使用 certpool.appendcertsfrompem 尝试过此操作,如下所示:

package main

import (
    "crypto/x509"
    "encoding/pem"
    "io/ioutil"

    "github.com/sirupsen/logrus"
)

func main() {
    cacertpem, err := ioutil.readfile("issuing_chain.pem")
    if err != nil {
        logrus.witherror(err).fatal("read ca pem file")
    }

    certpem, err := ioutil.readfile("3007e750-e769-440b-9075-41dc2b5b1787.pem")
    if err != nil {
        logrus.witherror(err).fatal("read cert pem file")
    }

    block, rest := pem.decode(certpem)
    if block == nil {
        logrus.withfield("rest", rest).fatal("decode ca pem")
    }

    cert, err := x509.parsecertificate(block.bytes)
    if err != nil {
        logrus.witherror(err).fatal("parse certificate")
    }

    roots := x509.newcertpool()
    roots.appendcertsfrompem(cacertpem)

    chain, err := cert.verify(x509.verifyoptions{roots: roots})
    if err != nil {
        logrus.witherror(err).fatal("failed to verify cert")
    }

    logrus.infof("issuing chain: %+v", chain)
}

但是,如果我运行此命令,则会收到以下错误:

fata[0000] failed to verify cert                         error="x509: certificate specifies an incompatible key usage"
exit status 1

我相信此错误是在 https://golang.org/src/crypto/x509/verify.go 的第 790 行返回的:

if len(chains) == 0 {
    return nil, CertificateInvalidError{c, IncompatibleUsage, ""}
}

换句话说,verify() 方法无法从提供的选项构建任何 chains。我尝试将中间体(要点中显示的 issuing_chain.pem 中的前两个)拆分为单独的 pem 文件,并将它们作为 intermediates 添加到 x509.verifyoptions,但我仍然遇到相同的错误。

在 go 中根据发行链验证证书的正确方法是什么?

解决方案

您的叶证书仅用于客户端身份验证。 

$ openssl x509 -noout -text -in leaf.pem  | grep -a1 'key usage'
            x509v3 key usage: critical
                digital signature, key encipherment
            x509v3 extended key usage: 
                tls web client authentication

如果这是故意的,您必须指定 keyusages 选项,因为 。您还必须返回到单独提供中间证书的代码版本:

chain, err := cert.Verify(x509.VerifyOptions{
    Roots:         roots,
    Intermediates: inters,
    KeyUsages:     []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth},
})

尝试一下演示:。请注意,该演示需要 currenttime 选项才能正确验证。复制到其他地方时删除它!

理论要掌握,实操不能落!以上关于《如何根据 Go 中的发行链验证证书?》的详细介绍,大家都掌握了吧!如果想要继续提升自己的能力,那么就来关注公众号吧!

您可能还喜欢...