Как отправить запрос https с сертификатом golang

У меня есть сервер, у которого есть API для отдыха, работающий по https. Я хочу сделать это приложение api в моем приложении, которое работает в другом порту, но поскольку это больше https, я получаю

Post https://localhost:8080/api/v1/myapi: x509: certificate signed by unknown authority

У меня есть 2 файла pulic_key.pem и private_key, которые могут использоваться для проверки сертификата. Как проверить сертификат при отправке запроса на отдых с помощью golang? Я использую &http.Client{} для отправки запроса на отдых. Вот что я делаю, чтобы игнорировать сертификат прямо сейчас.

tr := &http.Transport{
TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
}

client := &http.Client{Transport: tr}

Ответ 1

Вам необходимо добавить CA своего сертификата на ваш транспорт, например:

package main

import (
    "crypto/tls"
    "io/ioutil"
    "log"
    "net/http"
    "crypto/x509"
)

func main() {
    caCert, err := ioutil.ReadFile("rootCA.crt")
    if err != nil {
        log.Fatal(err)
    }
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(caCert)

    client := &http.Client{
        Transport: &http.Transport{
            TLSClientConfig: &tls.Config{
                RootCAs:      caCertPool,
            },
        },
    }

    _, err := client.Get("https://secure.domain.com")
    if err != nil {
        panic(err)
    }
}

Но я думаю, вы просто не создали CA, чтобы сделать свои сертификаты. Ниже приведен список команд без объяснений, которые могут помочь вам сделать сертификаты, подписанные с вашим собственным центром сертификации. Для получения дополнительной информации вы можете использовать его в Google.

  • Создание CA

    openssl genrsa -out rootCA.key 4096
    openssl req -x509 -new -key rootCA.key -days 3650 -out rootCA.crt
    
  • Создать сертификат для secure.domain.com, подписанный с созданным CA

    openssl genrsa -out secure.domain.com.key 2048
    openssl req -new -key secure.domain.com.key -out secure.domain.com.csr
    #In answer to question `Common Name (e.g. server FQDN or YOUR name) []:` you should set `secure.domain.com` (your real domain name)
    openssl x509 -req -in secure.domain.com.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -days 365 -out secure.domain.com.crt
    

Ответ 2

Если сертификат самоподписан, вы должны добавить эту опцию:

TLSClientConfig: &tls.Config{
   RootCAs:      caCertPool,
   InsecureSkipVerify: true,
},