如何根据 Go 中的发行链验证证书？

哈喽！大家好，很高兴又见面了，我是golang学习网的一名作者，今天由我给大家带来一篇《如何根据 Go 中的发行链验证证书？》，本文主要会讲到等等知识点，希望大家一起学习进步，也欢迎大家关注、点赞、收藏、转发! 下面就一起来看看吧！

我想根据发行链验证 pem 证书，该发行链也是一个 .pem 文件，其中包含多个由换行符分隔的证书，如本要点所示，https://gist.github.com/kurtpeek/8bf3282e344c781a20c5deadac75059f 。我已经使用 certpool.appendcertsfrompem 尝试过此操作，如下所示：

package main

import (
    "crypto/x509"
    "encoding/pem"
    "io/ioutil"

    "github.com/sirupsen/logrus"
)

func main() {
    cacertpem, err := ioutil.readfile("issuing_chain.pem")
    if err != nil {
        logrus.witherror(err).fatal("read ca pem file")
    }

    certpem, err := ioutil.readfile("3007e750-e769-440b-9075-41dc2b5b1787.pem")
    if err != nil {
        logrus.witherror(err).fatal("read cert pem file")
    }

    block, rest := pem.decode(certpem)
    if block == nil {
        logrus.withfield("rest", rest).fatal("decode ca pem")
    }

    cert, err := x509.parsecertificate(block.bytes)
    if err != nil {
        logrus.witherror(err).fatal("parse certificate")
    }

    roots := x509.newcertpool()
    roots.appendcertsfrompem(cacertpem)

    chain, err := cert.verify(x509.verifyoptions{roots: roots})
    if err != nil {
        logrus.witherror(err).fatal("failed to verify cert")
    }

    logrus.infof("issuing chain: %+v", chain)
}

但是，如果我运行此命令，则会收到以下错误：

fata[0000] failed to verify cert                         error="x509: certificate specifies an incompatible key usage"
exit status 1

我相信此错误是在 https://golang.org/src/crypto/x509/verify.go 的第 790 行返回的：

if len(chains) == 0 {
    return nil, CertificateInvalidError{c, IncompatibleUsage, ""}
}

换句话说，verify() 方法无法从提供的选项构建任何 chains。我尝试将中间体（要点中显示的 issuing_chain.pem 中的前两个）拆分为单独的 pem 文件，并将它们作为 intermediates 添加到 x509.verifyoptions，但我仍然遇到相同的错误。

在 go 中根据发行链验证证书的正确方法是什么？

解决方案

您的叶证书仅用于客户端身份验证。

$ openssl x509 -noout -text -in leaf.pem  | grep -a1 'key usage'
            x509v3 key usage: critical
                digital signature, key encipherment
            x509v3 extended key usage: 
                tls web client authentication

如果这是故意的，您必须指定 keyusages 选项，因为 "an empty list means ExtKeyUsageServerAuth"。您还必须返回到单独提供中间证书的代码版本：

chain, err := cert.Verify(x509.VerifyOptions{
    Roots:         roots,
    Intermediates: inters,
    KeyUsages:     []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth},
})

尝试一下演示：https://play.golang.org/p/1BNLthzu5Tz。请注意，该演示需要 currenttime 选项才能正确验证。复制到其他地方时删除它！

理论要掌握，实操不能落！以上关于《如何根据 Go 中的发行链验证证书？》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！