Go 实现 HTTPS 反向代理教程

本文深入解析了在 Go 中实现 HTTPS 反向代理时常见的证书验证难题——使用 httputil.NewSingleHostReverseProxy 直接代理 HTTPS 后端时因默认严格校验证书而频繁触发 x509 错误，系统性地拆解了问题根源（http.DefaultTransport 的 TLS 行为）、安全可行的解决方案（自定义 http.Transport 配置 TLSClientConfig，支持跳过验证或集成私有 CA）、客户端证书透传（mTLS 场景下通过 Director 与 DialTLSContext 协同实现）、以及前端 HTTPS 服务启动的关键陷阱（必须用 ListenAndServeTLS 而非 ListenAndServe），辅以生产级建议和最小可运行示例，助你避开坑、写出健壮且安全的 Go 反向代理服务。

为什么直接用 httputil.NewSingleHostReverseProxy 会报 x509 错误

Go 标准库的反向代理默认校验后端 HTTPS 证书，如果后端是自签名、过期或域名不匹配的证书，http.Transport 会直接拒绝连接，抛出类似 x509: certificate signed by unknown authority 的错误。这不是代理逻辑问题，而是底层 HTTP 客户端的 TLS 验证行为。

解决思路不是绕过验证（除非测试环境），而是显式配置 http.Transport 并传给代理的 Director 或 RoundTripper 字段：

• 创建自定义 http.Transport，通过 TLSClientConfig.InsecureSkipVerify = true 关闭证书校验（仅限开发/内网）
• 或更安全地，用 TLSClientConfig.RootCAs 加载可信 CA 证书池，支持私有 CA
• 必须将该 transport 赋值给代理的 Transport 字段，否则它仍走默认 transport

如何让 ReverseProxy 使用自定义 TLS 配置

关键点：标准 httputil.NewSingleHostReverseProxy 返回的代理对象本身不持有 transport，它用的是 http.DefaultTransport。你得手动替换它的 Transport 字段。

示例代码片段：

proxy := httputil.NewSingleHostReverseProxy(&url.URL{
    Scheme: "https",
    Host:   "backend.example.com",
})
proxy.Transport = &http.Transport{
    TLSClientConfig: &tls.Config{
        InsecureSkipVerify: true, // ⚠️ 仅测试用
        // 或 RootCAs: caPool
    },
}

注意：InsecureSkipVerify 是全局跳过，不区分域名；生产环境应优先使用 VerifyPeerCertificate 自定义校验逻辑，或预置 CA。

如何透传客户端证书到后端 HTTPS 服务

如果后端需要双向 TLS（mTLS），代理需把客户端的证书和私钥转发过去。但标准 ReverseProxy 不自动做这事 —— 它只把原始请求体和 header 转发，而 TLS 层的 client cert 在握手阶段就结束了，不会出现在 HTTP 层。

正确做法是：在 Director 函数里从 *http.Request.TLS 提取证书链，并在自定义 Transport 的 DialTLSContext 中复用：

• Director 里不能直接操作 TLS 连接，只能存证书信息到 req.Context() 或临时字段
• 自定义 Transport 的 DialTLSContext 回调中，读取上下文里的证书，构造 tls.Config 并调用 tls.Dial
• 务必检查 req.TLS != nil && len(req.TLS.PeerCertificates) > 0，避免 panic

为什么代理启动后访问 HTTPS 前端却提示 “Client sent an HTTP request to an HTTPS server”

这是常见混淆：你用 http.ListenAndServe 启动了 HTTP 服务，但浏览器用 https:// 访问它。Go 的 http.Server 默认不处理 TLS，必须用 http.ListenAndServeTLS 并提供证书文件。

最小可运行结构：

proxy := httputil.NewSingleHostReverseProxy(&url.URL{Scheme: "https", Host: "backend.internal"})
proxy.Transport = &http.Transport{...}

server := &http.Server{
    Addr: ":443",
    Handler: proxy,
}
log.Fatal(server.ListenAndServeTLS("cert.pem", "key.pem"))

漏掉 ListenAndServeTLS 或证书路径错误，都会导致 TLS 握手失败，Nginx/Apache 用户容易惯性以为是代理配置问题，其实前端根本没进 Go 代码。

证书路径必须是绝对路径或相对于当前工作目录的有效路径；若用 Let’s Encrypt，推荐用 autocert.Manager 自动管理，而不是硬编码 PEM 文件。

理论要掌握，实操不能落！以上关于《Go 实现 HTTPS 反向代理教程》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！