首页 > Golang > Go问答

UnsupportedProtocolVersion: 程序提取的x509Certificate从pfx中抛出，但协议版本不相互支持

来源：stackoverflow

时间：2024-02-17 08:18:24 102浏览收藏

一分耕耘，一分收获！既然打开了这篇文章《UnsupportedProtocolVersion: 程序提取的x509Certificate从pfx中抛出，但协议版本不相互支持》，就坚持看下去吧！文中内容包含等等知识点...希望你能在阅读本文后，能真真实实学到知识或者帮你解决心中的疑惑，也欢迎大佬或者新人朋友们多留言评论，多给建议！谢谢！

问题内容

使用以下代码，我正在创建 tls 证书

func loadcert() tls.certificate {
    b, err := ioutil.readfile(filename)
    if err != nil {
        log.fatalln("failed to find / open cert file", err)
    }
    p, c, err1 := pkcs12.decode(b, password)
    if err1 != nil {
        log.fatalln("failed to read cert content", err1)
    }
    tlscert := tls.certificate{
        privatekey: p,
        leaf:       c,
    }
    return tlscert
}

然后使用 newcertpool()，我将其添加到池中

func makeRequest(){    
    // Loading cert
    cert := loadCert()
    caCertPool := x509.NewCertPool()

    caCertPool.AddCert(cert.Leaf)

    tConfig := &tls.Config{
        RootCAs: caCertPool,
        PreferServerCipherSuites: true,
        InsecureSkipVerify:       false,
        Certificates:             []tls.Certificate{cert},
    }

    tr := &http.Transport{
      TLSClientConfig: tConfig,
    }

    client := http.Client{
        Transport: tr,
    }
    request, reqError := http.NewRequest("POST", url, bytes.NewBuffer(dataToPost))
    if reqError != nil {
         log.Fatalln(" failed with error", reqError)
    }
    request.Header.Set("Accept", "*/*")
    request.Header.Set("Connection", "keep-alive")
    request.Header.Add("Content-Type", "text/xml;charset=UTF-8")
    res, dErr := client.Do(request)
    if dErr != nil {
        log.Fatalln("Failed to make request", dErr)
    } else {
        log.Println(res.StatusCode)
    }
}

supportcertificate 抛出

没有相互支持的协议版本

相同的证书适用于 postman 等工具。如果我删除此 supportcertificate 函数的检查，并尝试使 post 调用服务器报告未找到客户端证书，尽管将其添加到上面的传输中。在客户端，我收到连接已重置的错误，并且

x509：由未知权威机构签署的证书

为了解决这个问题，我尝试使用 systemcertpool()，之后代码无法在 windows 上执行，并出现错误 systemcertpool not find。在 docker 或 vm 上失败并显示

连接已被对等方重置

我真的很困惑我所缺少的东西，希望得到一些帮助。

我已经浏览了一些非常有用的帖子，了解如何配置 tls 以及如何将 ca 证书添加到新池中。但我似乎还是错过了一些东西。

解决方案

您可以尝试将 http.client 与配置的 tls.config 一起使用，您在其中重新定义了根 ca。例如：

http.client{
    transport: &http.transport{
        tlsclientconfig: &tls.config{
            rootcas: capool,
        },
},

其中 capool 可以获得为

caPool, err := x509.SystemCertPool()
if err != nil {
    return nil, fmt.Errorf("SystemCertPool() error: %v", err)
}
if caPool == nil {
    caPool = x509.NewCertPool()
}

certs, err := ioutil.ReadFile(path)
if err != nil {
    return nil, fmt.Errorf("failed to read CA from file '%q': %v", path, err)
}

if ok := caPool.AppendCertsFromPEM(certs); !ok {
    return nil, fmt.Errorf("failed to append local CA to root cert pool")
}

今天关于《UnsupportedProtocolVersion: 程序提取的x509Certificate从pfx中抛出，但协议版本不相互支持》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！

声明：本文转载于：stackoverflow 如有侵犯，请联系study_golang@163.com删除