它说在文档中“ListenAndServeTLS 的行为与 ListenAndServe 相同,不同之处在于它需要 HTTPS 连接。此外,必须提供包含证书和匹配服务器私钥的文件。如果证书是由证书颁发机构签署的,则 certFile 应该是服务器的连接证书、任何中间件和 CA 的证书。”然而,我几乎无法理解什么是什么concatenation,intermediates实际上是什么意思。任何人都可以请给我一个例子吗?提前致谢。顺便说一句,我不想在 tls.Config 中加载 CA 证书,这绝对有效;)
2 回答
拉风的咖菲猫
TA贡献1995条经验 获得超2个赞
之前的答案没有解决任何问题。最简单的方法是将您的证书(您的证书,而不是您的私钥,原因很明显!)上传到certificatechain.io。
另一种选择是简单地向您的 CA请求ca-bundle,然后您将按如下方式连接:
-----BEGIN CERTIFICATE-----
YOUR CERT
YOUR CERT
YOUR CERT
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
SOME INTERMEDIATE CERT
SOME INTERMEDIATE CERT
SOME INTERMEDIATE CERT
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ANOTHER INTERMEDIATE CERT
ANOTHER INTERMEDIATE CERT
ANOTHER INTERMEDIATE CERT
ANOTHER INTERMEDIATE CERT
-----END CERTIFICATE-----
请注意,顺序很重要。一旦您掌握了这个文件,您就可以在ServeAndListenTLS().
汪汪一只猫
TA贡献1898条经验 获得超8个赞
这是一个小细节,只是忽略它并添加cert.pem和key.pem文件,如文档说。它讨论的是如何将证书“链接”(连接)在一起以将信任从根证书转移到中间证书。所有这些都是 PKI 工作原理的详细信息,只要您不弄乱证书和密钥文件,您就不必担心。
你看,你的浏览器知道 PayPal 是PayPal 的方式是通过验证 PayPal 的证书是由你的计算机信任的根证书签署的。在这种情况下,赛门铁克签署了证书。
可以做成中间证书颁发机构。例如,最安全的 CA 实际上不会将带有根证书的服务器挂接到 Internet;一切都由中间证书颁发机构签名,这些证书颁发机构本身由根证书签名。如果中间 CA 遭到黑客攻击,赛门铁克可以撤销该 CA 签署的所有证书,这比获取新的公钥设置容易得多。
您的浏览器可以信任 PayPal,因为它是由赛门铁克的中间 CA 签署的。中间 CA 的证书由赛门铁克的根 CA 签署。
- 2 回答
- 0 关注
- 250 浏览
添加回答
举报
0/150
提交
取消