需要哪些 mTLS 证书来支持客户端兼作服务器？

一分耕耘，一分收获！既然都打开这篇《需要哪些 mTLS 证书来支持客户端兼作服务器？》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新Golang相关的内容，希望对大家都有所帮助！

我希望在 golang 中使用 mtls 连接服务器和多个客户端。在我的服务器上，我希望能够生成证书以放置在所有客户端上，以便客户端可以与服务器通信，但客户端不能相互通信。然而，我的客户端在端口 80 上公开 golang http 服务器，并且我的服务器通过 api 请求与客户端进行通信，而不是相反（从技术上讲，你可能会质疑我所说的服务器实际上是否是客户端，但它是一个单一的客户端）证书生成的源并向客户端提供内容，因此为了简单起见，将坚持使用此命名）。这怎么能设置呢？需要生成哪些证书以及是否可以让客户端使用从单个服务器生成的证书来侦听请求？

我很可能会使用 smallstep 来生成证书，smallstep 示例会很有用，但一般方法也很好，然后可以看看如何单独使用 smallstep 复制它。

我查看了一些现有的 golang 示例，但它们往往采用不同的设置：

https://smallstep.com/hello-mtls/doc/server/go

https://venilnoronha.io/a-step-by-step-guide-to-mtls-in-go

这是目前的代码，我非常确定错误地使用了证书：

客户：

step ca 证书“localhost”client.crt client.key

下面，cert和key变量分别是client.crt和client.key。

cacertpool := x509.newcertpool()
cacertpool.appendcertsfrompem([]byte(cert))

// read the key pair to create certificate
keypair, err := tls.x509keypair([]byte(cert), []byte(key))
if err != nil {
log.fatal(err)
}

transport = &http.transport{
idleconntimeout:     transportidleconntimeout,
maxidleconnsperhost: transportmaxidleconnsperhost,
tlsclientconfig: &tls.config{
    rootcas:      cacertpool,
    certificates: []tls.certificate{keypair},
},

服务器：

step ca 证书“pm1”server.crt server.key

下面，cert和key变量分别是server.crt和server.key。

caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM([]byte(cert))

cert, err := tls.X509KeyPair([]byte(cert), []byte(key))
if err != nil {
    log.Fatal("server: loadkeys: ", err)
}

tlsConfig := tls.Config{
    ClientCAs:    caCertPool,
    ClientAuth:   tls.RequireAndVerifyClientCert,
    Certificates: []tls.Certificate{cert},
    MinVersion:   tls.VersionTLS13,
}

我现在根本没有使用 ca.crt (step ca root ca.crt)。

正确答案

1. 当客户端同时作为服务器时，需要哪些 mtls 证书？

从服务器角度：

• 每个服务都需要有自己的证书来提供 https
• 可信证书列表，用于验证传入请求（该列表应包括所有授权客户端使用的所有证书）。

从客户的角度来看：

• 您打算通过 mtls 进行通信的所有服务器的证书列表；客户端不会信任未知的证书（类似于网络浏览器）；通常，此处使用为所有服务签署证书的 ca，但如果确实需要，您也可以单独添加它们
• 自己的证书，用于签署传出请求。

1. 使用 mtls 的客户端 [...] 在端口 80 上公开 golang http 服务器

端口（ :80 或 :443 等）和协议（http、https、grpc 等）是不同的东西。但是，有一个严格的约定，即在端口 80 上使用 http，在 :443 上使用 https。如果您不关心约定，没有什么可以阻止您在端口 :80 上使用 https。因为您想要实现mtls，所以您必须在服务器上侦听 https。

1. [...]但它是证书生成的单一来源并向客户端提供内容，因此为了简单起见，将坚持使用此命名[...]并且是否可以让客户端使用从生成的证书侦听请求单个服务器？

我不确定我是否理解这里的前提，但证书生成通常不属于服务器或客户端的责任，而服务器或客户端应该使用它们来建立相互信任。

我假设您有一个 ca 可以为每个 web 服务器签署证书，为了简单起见，将它们命名为：

μa：必须与μb和μc通信
µb：必须仅与 µa 通信
µc：必须仅与 µa 通信

https 和 mtls 又是不同的东西：第一个是协议，第二个是身份验证方法。我将尝试单独解决这些问题：

https：

要开始侦听 https，每个应该接受连接的微服务都应该启动一个侦听器并加载自己的 .crt 和 .key（我将在配置 mtls 时重新访问本节，但目前让我们解决 https）：

func main() {
    http.handlefunc("/hello", helloserver)
    // replace 443 with 80 if you really don't care about conventions
    err := http.listenandservetls(":443", "µ.crt", "µ.key", nil)
    if err != nil {
        log.fatal("listenandserve: ", err)
    }
}

mtls：

mtls 客户端（发送请求的微服务）和服务器（接收请求的微服务）之间相互进行身份验证。每个微服务可以是客户端、服务器或两者兼而有之。

从客户的角度来看：

• 服务器提供的证书必须经过验证且可信
• 客户端必须加载自己的证书并签署其传出请求

从服务器角度：

• 传入请求必须由受信任的客户端证书或 ca 列表进行签名
• 响应必须使用服务器证书进行签名，该证书应受到发起请求的客户端的信任。

客户视角：

    // client a perspective
    client := &http.client{
        transport: &http.transport{
            tlsclientconfig: &tls.config{
                // provide the ca that signed certificates that are presented
                // by servers b and c
                rootcas: cacertpool,
                // provide the certificate for microservice a, which is
                // initiating the request
                certificates: []tls.certificate{cert}, 
            },
        },
    }

服务器 b 或 c 视角：

tlsConfig := &tls.Config{
    // add only microservice A certificate in this pool; this will allow A 
    // to connect to B and C, but won't allow B to C and C to B 
    ClientCAs: caCertPool, 
    ClientAuth: tls.RequireAndVerifyClientCert,
}
tlsConfig.BuildNameToCertificate()

server := &http.Server{
    Addr:      ":443", // use :80 if you don't care about conventions
    TLSConfig: tlsConfig,
}

server.ListenAndServeTLS("server.crt", "server.key")

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《需要哪些 mTLS 证书来支持客户端兼作服务器？》文章吧，也可关注golang学习网公众号了解相关技术文章。