一：HTTPS介绍

HTTPS (Secure Hypertext Transfer Protocol)安全超文本传输协议，是一个安全通信通道，它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。

HTTP和HTTPS的区别

• HTTPS是加密传输协议，HTTP是名文传输协议
• HTTPS需要用到SSL证书，而HTTP不用
• HTTPS比HTTP更加安全，对搜索引擎更友好，利于SEO
• HTTPS标准端口443，HTTP标准端口80
• HTTPS基于传输层，HTTP基于应用层
• HTTPS在浏览器显示绿色安全锁，HTTP没有显示

二、HTTPS证书

正式发布的时候，是需要购买正规的证书的。测试程序时，如果没有，我们可以使用openssl来生成私人的证书。

（1）首先我们先生成证书私钥

openssl genrsa -out server.key 2048

（2）根据私钥生成公钥

openssl rsa -in server.key -out server.key.public

（2）根据私钥生成证书

openssl req -new -x509 -key server.key -outserver.crt -days 365
注意以上命令是生成在当前文件夹下的

三、Golang实现HTTPS程序

第一个HTTPS程序

func handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w,
        "Hi, This is an example of https service in golang!")
}
func main1() {
    http.HandleFunc("/", handler)
    //https监听，必须提供证书文件和对应的私钥文件。
    http.ListenAndServeTLS(":8081", "server.crt",
        "server.key", nil)
}

浏览器输入 https://127.0.0.1:8081进行测试即可。
注意浏览器会提示此链接不安全，继续访问即可，因为这个证书使我们自己生成的，并不被浏览器所承认。上面两个文件的路径可以是绝对路径也可以相对，这里在同一文件夹下使用的

四、访问自己的HTTPS服务端

go实现的Client端默认也是要对服务端传过来的数字证书进行校验的，因为我们的证书并不是知名CA签发的。所以我们要跳过验证，如下

func main() {
    //要管理代理、TLS配置、keep-alive、压缩和其他设置，创建一个Transport
    //Client和Transport类型都可以安全的被多个go程同时使用。出于效率考虑，应该一次建立、尽量重用。
    tr := &http.Transport{
        //InsecureSkipVerify用来控制客户端是否证书和服务器主机名。如果设置为true,
        //则不会校验证书以及证书中的主机名和服务器主机名是否一致。
        TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://localhost:8081")
    if err != nil {
        fmt.Println("error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}

五、对服务端证书进行校验

多数时候，我们需要对服务端的证书进行校验，而不是像上面那样忽略这个校验。

首先我们来建立我们自己的CA，需要生成一个CA私钥和一个CA的数字证书:

（1）生成CA私钥

openssl genrsa -out ca.key 2048

（2）生成CA证书

openssl req -x509 -new -nodes -key ca.key -subj "/CN=tonybai.com" -days 5000 -out ca.crt

接下来，生成server端的私钥，生成数字证书请求，并用我们的ca私钥签发server的数字证书：

（1）生成服务端私钥

openssl genrsa -out server.key 2048

（2）生成证书请求文件

openssl req -new -key server.key -subj "/CN=localhost" -out server.csr

（3）根据CA的私钥和上面的证书请求文件生成服务端证书

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
client.go

//客户端对服务器校验
func main() {
    //CertPool代表一个证书集合/证书池。
    //创建一个CertPool
    pool := x509.NewCertPool()
    caCertPath := "/Users/zt/GOProject/src/https/ca.crt"
    //调用ca.crt文件
    caCrt, err := ioutil.ReadFile(caCertPath)
    if err != nil {
        fmt.Println("ReadFile err:", err)
        return
    }
    //解析证书
    pool.AppendCertsFromPEM(caCrt)
    
    tr := &http.Transport{
        ////把从服务器传过来的非叶子证书，添加到中间证书的池中，使用设置的根证书和中间证书对叶子证书进行验证。
        TLSClientConfig: &tls.Config{RootCAs: pool},
    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://localhost:8081")
    if err != nil {
        fmt.Println("Get error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}

• Key 是私用密钥openssl，通常是rsa算法
• Csr 是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署，还可以设定一个密钥
• crt是CA认证后的证书文，签署人用自己的key给你签署的凭证

六、对客户端证书进行校验

要对客户端数字证书进行校验，首先客户端需要先有自己的证书。
我们以上面的例子为基础，生成客户端的私钥与证书。

（1）生成client私钥

openssl genrsa -out client.key 2048

（2）生成client请求文件

openssl req -new -key client.key -subj "/CN=tonybai_cn" -out client.csr

（3）生成client证书

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 5000
client.go

type myhandler struct {
}

func (h *myhandler) ServeHTTP(w http.ResponseWriter,
    r *http.Request) {
    fmt.Fprintf(w,
        "Hi, This is an example of http service in golang!\n")
}
func main() {
    pool := x509.NewCertPool()
    caCertPath := "ca.crt"
    caCrt, err := ioutil.ReadFile(caCertPath)
    if err != nil {
        fmt.Println("ReadFile err:", err)
        return
    }
    pool.AppendCertsFromPEM(caCrt)
    s := &http.Server{
        Addr:    ":8081",
        Handler: &myhandler{},
        TLSConfig: &tls.Config{
            ClientCAs:  pool,
            ClientAuth: tls.RequireAndVerifyClientCert,
        },
    }
    err = s.ListenAndServeTLS("server.crt", "server.key")
    if err != nil {
        fmt.Println("ListenAndServeTLS err:", err)
    }
}

server.go

func main() {
    pool := x509.NewCertPool()
    caCertPath := "ca.crt"
    caCrt, err := ioutil.ReadFile(caCertPath)
    if err != nil {
        fmt.Println("ReadFile err:", err)
        return
    }
    pool.AppendCertsFromPEM(caCrt)
    cliCrt, err := tls.LoadX509KeyPair("client.crt", "client.key")
    if err != nil {
        fmt.Println("Loadx509keypair err:", err)
        return
    }
    tr := &http.Transport{
        TLSClientConfig: &tls.Config{
            RootCAs:      pool,
            Certificates: []tls.Certificate{cliCrt},
        },
    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://localhost:8081")
    if err != nil {
        fmt.Println("Get error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}

HTTPS要使客户端与服务器端的通信过程得到安全保证，必须使用的对称加密算法，但是协商对称加密算法的过程，需要使用非对称加密算法来保证安全，然而直接使用非对称加密的过程本身也不安全，会有中间人篡改公钥的可能性，所以客户端与服务器不直接使用公钥，而是使用数字证书签发机构颁发的证书来保证非对称加密过程本身的安全。这样通过这些机制协商出一个对称加密算法，就此双方使用该算法进行加密解密。从而解决了客户端与服务器端之间的通信安全问题。