配置 golang TLS 开发环境 需生成自签名证书(CN=localhost)、服务端用 ListenAndServeTLS 加载 server.crt/server.key,客户端须将 server.crt 加入 RootCAs;常见错误是 CN/SAN 不匹配或未配置 RootCAs。
要配置 golang TLS 证书 开发环境,核心是生成自签名证书(用于本地调试),并在 Go 程序中正确加载和使用它们。不需要公网 CA,但需确保私钥安全、证书匹配、且服务端 / 客户端配置一致。
生成自签名 TLS 证书和私钥
用 Openssl 一行命令即可生成适用于开发的 server.crt 和 server.key:
openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodes -subj "/CN=localhost"说明:
- -x509:生成自签名证书(非 CSR)
- -subj “/CN=localhost”:关键!必须包含
localhost,否则 Go 客户端校验失败(默认启用 SNI 和域名验证) - –nodes:不加密私钥(开发方便;生产环境应加密并妥善管理)
- 也可加
-addext "subjectAltName = dns:localhost,IP:127.0.0.1"(OpenSSL 1.1.1+)增强兼容性
在 Go 服务端启用 TLS
使用 http.ListenAndServeTLS,传入证书和私钥路径:
立即学习“go 语言免费学习笔记(深入)”;
log.Fatal(http.ListenAndServeTLS(":8443", "server.crt", "server.key", nil))注意:
- 端口 建议用 8443(非 443),避免权限问题
- 若用
http.Server结构体,调用srv.ListenAndServeTLS("server.crt", "server.key") - 证书文件需可读,路径为相对或绝对路径(推荐放项目根目录或
./certs/下)
在 Go 客户端信任自签名证书
默认情况下,Go 客户端拒绝自签名证书。需手动将 server.crt 加入自定义 tls.Config 的 RootCAs:
cert, _ := ioutil.ReadFile("server.crt") certPool := x509.NewCertPool() certPool.appendCertsFromPEM(cert) <p>client := &http.Client{Transport: &http.Transport{ TLSClientConfig: &tls.Config{RootCAs: certPool}, }, } resp, _ := client.Get("<a href="https://www.php.cn/link/efa4e6f5c6359cc2eadc5d731716468e">https://www.php.cn/link/efa4e6f5c6359cc2eadc5d731716468e</a>")常见错误:
- 忘记设置
RootCAs→“x509: certificate signed by unknown authority” - 证书里 CN 不是 localhost 或没加 SAN →“x509: certificate is valid for xxx, not localhost”
- 用
InsecureSkipVerify: true虽能绕过,但仅限极简测试,不推荐写进代码
可选:生成客户端证书(双向 TLS)
如需 mTLS(服务端也验证客户端身份),再生成一对 client 证书:
# 生成客户端私钥和 CSR openssl genrsa -out client.key 4096 openssl req -new -key client.key -out client.csr -subj "/CN=client" <h1> 用服务端私钥签发客户端证书(开发可用同一 CA)</h1><p>openssl x509 -req -in client.csr -CA server.crt -CAkey server.key -CAcreateserial -out client.crt -days 365服务端加载时需设置:
srv.TLSConfig = &tls.Config{ClientCAs: certPool, // server.crt 加载后的 pool ClientAuth: tls.RequireAndVerifyClientCert,}客户端发起请求时带上 client.crt + client.key:
cert, _ := tls.LoadX509KeyPair("client.crt", "client.key") tr := &http.Transport{TLSClientConfig: &tls.Config{Certificates: []tls.Certificate{cert}}}基本上就这些。开发阶段证书生成和加载不复杂,但容易忽略 CN/SAN 和 RootCAs 配置,导致连接失败。保持证书路径清晰、内容匹配、验证逻辑明确,就能快速跑通 TLS 流程。
以上就是如何配置 Golang TLS 证书
