使用 Go 添加 HTTPS

• 簡介
• 實踐
  • 生成證書和私鑰
  • 修改配置文件
  • 修改啓動函數
• 總結
• 當前部分的代碼

簡介

如今的網站沒有 HTTPS 都很差意思見人了.

超文本傳輸安全協議（英語：HyperText Transfer Protocol Secure，縮寫：HTTPS；常稱爲 HTTP over TLS、HTTP over SSL 或 HTTP Secure）是一種經過計算機網絡進行安全通訊的傳輸協議。HTTPS 經由 HTTP 進行通訊，但利用 SSL/TLS 來加密數據包。HTTPS 開發的主要目的，是提供對網站服務器的身份認證，保護交換數據的隱私與完整性。這個協議由網景公司（Netscape）在 1994 年首次提出，隨後擴展到互聯網上。

HTTPS 的信任基於預先安裝在操做系統中的證書頒發機構（CA）。所以，到一個網站的 HTTPS 鏈接僅在這些狀況下可被信任：

• 瀏覽器正確地實現了 HTTPS 且操做系統中安裝了正確且受信任的證書頒發機構；
• 證書頒發機構僅信任合法的網站；
• 被訪問的網站提供了一個有效的證書，也就是說它是一個由操做系統信任的證書頒發機構簽發的（大部分瀏覽器會對無效的證書發出警告）；
• 該證書正確地驗證了被訪問的網站（例如，訪問https://example.com時收到了簽發給example.com而不是其它域名的證書）；
• 此協議的加密層（SSL/TLS）可以有效地提供認證和高強度的加密。

主要目的在於:

• 安全傳輸數據
• 防止中間人攻擊和竊聽
• 驗證服務器的可信度

實踐

在 Go 中使用 HTTPS 也很簡單, 接口以下:

func (srv *Server) ListenAndServe() error func (srv *Server) ListenAndServeTLS(certFile, keyFile string) error 複製代碼

對比一下就知道了, 只須要兩個參數就能夠實現 HTTPS 了.

這兩個參數分別是證書文件的路徑和私鑰文件的路徑. 一般要獲取這兩個文件須要從證書頒發機構獲取. 雖然有免費的, 但仍是比較麻煩, 一般還須要域名.

爲了簡單起見, 這裏使用自簽名證書, 固然, 這樣的證書是不會被瀏覽器信任的.

生成證書和私鑰

若是是 window 系統, 能夠在 git bash 中運行. MSYS_NO_PATHCONV=1 是專爲 git bash 設置的環境變量, 沒有的話會報錯.

MSYS_NO_PATHCONV=1 openssl req -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=CN/ST=SH/L=SH/O=CoolCat/OU=CoolCat Software/CN=127.0.0.1/emailAddress=coolcat@qq.com"
複製代碼

PowerShell 版本, 須要指定配置路徑 -config, 默認應該是 "C:\Program Files\Git\usr\ssl\openssl.cnf".

openssl req -config "C:\Program Files\Git\usr\ssl\openssl.cnf" -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=CN/ST=SH/L=SH/O=CoolCat/OU=CoolCat Software/CN=127.0.0.1/emailAddress=coolcat@qq.com"
複製代碼

Linux 下就能夠直接運行吧.

openssl req -new -nodes -x509 -out server.crt -keyout server.key -days 3650 -subj "/C=CN/ST=SH/L=SH/O=CoolCat/OU=CoolCat Software/CN=127.0.0.1/emailAddress=coolcat@qq.com"
複製代碼

這個命令會在當前目錄生成 server.crt 證書文件和 server.key 私鑰文件, 都複製到項目的 conf 目錄下.

修改配置文件

在配置文件 conf/config.yaml 中添加 HTTPS 相關的參數.

tls:
 addr: :443 # HTTPS 綁定端口
 cert: conf/server.crt # 自簽發的數字證書
 key: conf/server.key # 私鑰文件
複製代碼

HTTPS 的默認端口就是 443, 這裏也配置成 443, 就能夠在 URL 中省略端口號了.

修改啓動函數

一開始, 啓動函數是在 goroutine 中啓動 HTTP 服務器, 這裏增長一個 goroutine 來啓動 HTTPS 服務器.

// 啓動 https 服務
cert := viper.GetString("tls.cert")
key := viper.GetString("tls.key")
addrTLS := viper.GetString("tls.addr")
if cert != "" && key != "" {
  go func() {
    // 等待 http 服務正常啓動
    <-wait
    logrus.Infof("啓動服務器在 https address: %s", addrTLS)
    srv.Addr = addrTLS
    if err := srv.ListenAndServeTLS(cert, key); err != nil && err != http.ErrServerClosed {
      logrus.Fatalf("listen on https: %s\n", err)
    }
  }()
}
複製代碼

啓動以後, 就能夠經過 https://127.0.0.1/v1/check/cpu 驗證一下了, 瀏覽器中打開確定是會顯示不安全的, 由於證書沒法經過驗證.

總結

HTTPS 是一種趨勢, 也是將來. API 接口爲了安全性, 通常都是須要上 HTTPS 的.

並且在 Go 中使用 HTTPS 也挺簡單的, 換個 TLS 結尾的函數就好了. 也能夠只使用 HTTPS, 禁止 HTTP 對外服務, 修改 HTTP 的配置參數 addr 爲 localhost:port 就行.

當前部分的代碼

做爲版本 v0.10.0