Возможно ли размещать несколько доменных TLS в golang с net/http?

У меня есть несколько доменов (скажем, abc.com и xyz.org) с различным сертификатом. Можно ли использовать ключ и сертификат на основе имени хоста без перехода на глубокий низкий уровень и net.Listen и т.д. Просто используя простой http.ListenAndServeTLS(...) или аналогичный? В принципе, что делает nginx.

Ответ 1

BuildNameToCertificate() будет прослушивать имя хоста из сертификата. Если ни один из них не соответствует информации SNI, он обслуживает [0]. https://golang.org/src/crypto/tls/common.go?s=18204:18245#L947

package main

import (
    "crypto/tls"
    "net/http"
    "time"

    "log"
)

func myHandler(w http.ResponseWriter, r *http.Request) {
    w.Write([]byte("tls"))
}

func main() {
    t := log.Logger{}
    var err error
    tlsConfig := &tls.Config{}
    tlsConfig.Certificates = make([]tls.Certificate, 3)
    // go http server treats the 0'th key as a default fallback key
    tlsConfig.Certificates[0], err = tls.LoadX509KeyPair("test0.pem", "key.pem")
    if err != nil {
        t.Fatal(err)
    }
    tlsConfig.Certificates[1], err = tls.LoadX509KeyPair("test1.pem", "key.pem")
    if err != nil {
        t.Fatal(err)
    }
    tlsConfig.Certificates[2], err = tls.LoadX509KeyPair("test2.pem", "key.pem")
    if err != nil {
        t.Fatal(err)
    }
    tlsConfig.BuildNameToCertificate()

    http.HandleFunc("/", myHandler)
    server := &http.Server{
        ReadTimeout:    10 * time.Second,
        WriteTimeout:   10 * time.Second,
        MaxHeaderBytes: 1 << 20,
        TLSConfig:      tlsConfig,
    }

    listener, err := tls.Listen("tcp", ":8443", tlsConfig)
    if err != nil {
        t.Fatal(err)
    }
    log.Fatal(server.Serve(listener))
}