如何验证服务器的自签名证书

I am trying to validate self sign certificate issued by local Root CA. My application also has the same Root CA. I am using a proxy service to reach server. The basic role of the proxy service is simple redirecting the request to server. Below is the code I am trying to use it

package main

import (
    "net/http"
    "crypto/tls"
    "log"
    "crypto/x509"
    "flag"
)

const localCertFile = `-----BEGIN CERTIFICATE-----
MIIDwzCCAqugAwIBAgIJAI6nmnGw6bGbMA0GCSqGSIb3DQEBCwUAMIGgMQswCQYD
VQQGEwJVUzETMBEGA1UECAwKTmV3IEplcnNleTEWMBQGA1UEBwwNQmFza2luZyBS
aWRnZTESMBAGA1UECgwJQXZheWEgSW5jMQwwCgYDVQQLDANHQ1MxIDAeBgNVBAMM
F2Nsb3VkLXRydXN0Y2EuYXZheWEuY29tMSAwHgYJKoZIhvcNAQkBFhFzdXBwb3J0
QGF2YXlhLmNvbTAeFw0xODA1MjUxMDE2MjNaFw0yODA1MjIxMDE2MjNaMIGgMQsw
CQYDVQQGEwJVUzETMBEGA1UECAwKTmV3IEplcnNleTEWMBQGA1UEBwwNQmFza2lu
ZyBSaWRnZTESMBAGA1UECgwJQXZheWEgSW5jMQwwCgYDVQQLDANHQ1MxIDAeBgNV
BAMMF2Nsb3VkLXRydXN0Y2EuYXZheWEuY29tMSAwHgYJKoZIhvcNAQkBFhFzdXBw
b3J0QGF2YXlhLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKJp
sdLWk3S9MefVajUSaEZf4pjo58Z6t3vqvxNaJ1oDBDRuBJZzHv4Grs7SfQFnzRRH
ivZTa6vNHJCaDMds5qztf6BhpyEwwdQdtCCQgiaAIV1HuLA1dnR4iAT2jUH4Pvxt
/BDj60j2YDFfV5j6Fh20lH5sKpkVEftPZ8PClEhqJ286h+U3i96WnTR54FIu6DKU
4RQjp3Cu2an/824HjNSLy5Tgr5N3RrosOJ4cZga9663p0DuIfpkQUvf+uPPafKUO
Ct90QwFpEDrX7jYB1VIy9by4OI/UvZjijCJ4Q/5Xl+SKZLD1gs5/QXSccOSyayEk
7/941MbGqwKjZXcszC8CAwEAATANBgkqhkiG9w0BAQsFAAOCAQEAihQiDedCG3un
V0TWmo9e4gHkoMfMgeKOEtNLiIFejZjMILyiY9/bv/vemp27WR1tbKz/Mo/zcJbU
oxDyHrEszp4ZYAwK2vFRT1T2r3rIGgUf4XyPSu8fEYLnPeCdm3BFpCrC4jIsaxJ3
BJYvmFUSCLw1IjcgCrBp4lpMRKySjCPpZiisldDBKrJrulNwx7g1I1CYxLn2jkIu
b/uL0SOJPDMriS3UZ0eqByBJTZ57rkVAeW6VUbwXxIBXQX1aC2PIT2n1svywHgY2
HlK5YUaCPPL3C1MiL2Qn9ZIQwcW/eY758polgOQIo6iys9MkG7sdYlpP61V5tZud
6FqDS2taqA==
-----END CERTIFICATE-----`

func main() {
    insecure := flag.Bool("insecure-ssl", false, "Accept/Ignore all server SSL certificates")
    flag.Parse()

    rootCA, _ := x509.SystemCertPool()
    if rootCA == nil {
        rootCA = x509.NewCertPool()
    }
    /*cert, err := ioutil.ReadFile(localCertFile)

    if err != nil {
        log.Fatalf("Failed to append %q to RootCAs: %v", localCertFile, err)
    }*/

    if ok := rootCA.AppendCertsFromPEM([]byte(localCertFile)); !ok {
        log.Println("No certs appended, using system certs only")
    }

    config := &tls.Config{
        InsecureSkipVerify: *insecure,
        RootCAs: rootCA,
        //ServerName: "trust.170918167.comsubjectKeyIdentifier   = hash",
    }

    tr := &http.Transport{TLSClientConfig: config}
    client := &http.Client{Transport: tr}

    req, _ := http.NewRequest(http.MethodGet, "https://cmm-register.default.svc.cluster.local:7070/MediaManager/ws/sysconfig", nil)
    resp, err := client.Do(req)
    if err != nil {
        log.Fatal(err)
    }

    log.Println(resp)




    //Error when ServerName is diabled
            //Get https://service:7070/sysconfig: x509: certificate is valid for trust.170918167.comsubjectKeyIdentifier   = hash, not service
            //When ServerName is set
            //Get https://service:7070/sysconfig: x509: certificate signed by unknown authority (possibly
            //because of "x509: invalid signature: parent certificate cannot sign this kind of certificate" while trying to verify candidate authority certificate "cloud-trustca.test.com")
}

So how to fix this issue as I need to validate the server certificate using the same CA. When I try to use openssl to verify the server certificate it get validated properly using the same root ca.

Currently I am using Go v1.9.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
doufangxian4985 2018-12-13 06:50
关注
I see a couple of problems with the ca cert you posted already, but it is hard to diagnose without the server certificate issued from it as well. The SAN names on that will need to match the hostnames your client is hitting, and it seems they might not.

Looking at the flags on that cert (using this site works), it looks like that ca cert does not have the CA bit set, and so will not be a valid issuer for any child certs. You need a root certificate with that extension enabled, and then you can generate valid certs from it.

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

如何在服务器更换数字证书？ ssl 服务器阿里云
2022-08-16 14:28

回答 1 已采纳配置你的服务比如说tomcat 是需要单独配置ssl的还有naginx都是要配置的
服务器偶尔会出现网络延迟很高的现象服务器网络
2021-09-13 09:23

回答 10 已采纳 CPU占用率高的时候也会导致网络延迟。1.查看程序中是否有内存泄露，有没有及时释放内存2.查看程序中是否有定时触发的功能，如果有，检查定时触发功能的机制是否合理（比如是否有反复消息确认、数据丢包重发，
ssl证书到期后是不是可以自动续费？ ssl 服务器网络
2022-12-07 09:45

回答 2 已采纳 SSL证书目前都是无法自动续费，但是用户在购买的时候一次可以购买多年，中途每年重新换签一次就可以了。部分平台一般在购买多年上都有价格优惠，另外购买多年也不需要重复提交证书申请，只需要重新签发一次就可以
自签名根证书、中间证书、服务器证书生成流程详解
2023-12-01 07:00

N阶二进制的博客在实际情况中，一些字段可能不是必需的，具体取决于你的使用场景和证书颁发机构...生成自签名的根证书（Root Certificate）的过程包括生成私钥、生成自签名的根证书。生成服务器证书的步骤与生成中间证书和根证书类似。
easyconnect无法连接到服务器 http 网络安全
2022-06-26 11:27

回答 2 已采纳问题已解决，就是断开平时用的网络，换一个新的网络环境，点击登录进去会提示下载插件或者更新插件等等，然后按照指示进行就可以了。
怎么把静态的页面部署到自己服务器上？服务器
2021-08-31 00:07

回答 2 已采纳静态界面，部署nginx，就可以了，yum install nginx -y 然后cd /usr/shar/nginx/html 然后把文件上传到这里。
搭建了私有的Ca服务器，然后去申请数字证书，这个数字证书可以用于不同的服务器吗 ssl tcp/ip 网络安全
2022-11-01 20:49

回答 3 已采纳是的，就好比你申请一个免费证书，你可以到处使用，但是你在不同服务器间切换，你得重复切换 hosts 或域名解析，还是很麻烦的。另一个，你的私有CA，一般浏览器是不认的，除非把 ca 也导入到浏览器中。
自建CA并生成自签名SSL证书
2023-11-30 23:13

AlbertS的博客这是加密与认证系列的第五篇文章了，本来我是想把自建证书和nginx配置https访问总结到一起的，但是在实际操作的过程中我发现了很...我决定这篇只写自建CA和签名SSL证书这部分，至于nginx配置https访问放到后面再写吧...
小程序开发对应的服务器证书无效请问怎么解决小程序服务器
2018-03-06 09:29

回答 5 已采纳如果微信公众平台的开发设置的服务器域名按要求（服务器域名需经过ICP备案，新备案域名需24小时后才可配置。域名格式只支持英文大小写字母、数字及“- ”，不支持IP地址及端口号。如果没有服务器与域名，
iOS iap 服务器验证问题 ios 服务器
2014-11-22 10:08

回答 1 已采纳找到解决办法了，查了大把资料，现在总结一下第一个问题，现在的解决办法是： transaction持久化，将加密的Base64字符串保存到本地，每次用户登录的时候自动重新验证。当二次验证时，用
ftps传输文件证书和密码问题 c++ ssl 网络安全
2022-09-20 15:42

回答 4 已采纳 ftp添加证书，仅仅只是为了防止别人从中窃取数据，除了这个，其他的还是该干嘛就干嘛
如何搭建自签名证书的https网站
2023-01-08 21:11

ISMOTO的博客使用openssl生成自签名证书：搭建 CA Server 一、生成私钥(CA机构) [root@manage ca_learning]# openssl genrsa -out ca.key 2048 二、得有证书(CA机构的证书) 生成公钥：[root@manage ca_learning]# openssl rsa ...
SSL证书在购买多年后有没有一键部署功能，如何解决？服务器网络
2022-12-09 09:56

回答 2 已采纳我觉得很麻烦谈不上吧，简单配置一下就可以，教程也很多基于Nginx配置ssl证书实现https_bluetata的博客-CSDN博客_nginx配置ssl证书实现ht
Autosar之自签名证书与CA证书
2023-05-29 17:46

喜欢打篮球的普通人的博客验证完整性主要依赖于消息摘要算法的特性，摘要算法的原理是根据一定的运算规则提取原始数据中的信息，被提取的信息就是原始数据的消息摘要，也称为数据指纹。对一份数据，进行一个单向的 Hash 函数，生成一个固定...
linux创建自签名证书
2019-03-11 17:39

ccx_jy的博客也就是说，任何人都可以通过适当的工具拦截或者监听到在网络上传输的数据流。但是有时候，我们需要在网络上传输一些安全性或者私秘性的数据，譬如：包含信用卡及商品信息的电子订单。这个时候，如果仍然使用HTTP协议...
没有解决我的问题, 去提问

悬赏问题

¥15 HFSS 中的 H 场图与 MATLAB 中绘制的 B1 场部分对应不上
¥15 如何在scanpy上做差异基因和通路富集？
¥20 关于#硬件工程#的问题，请各位专家解答！
¥15 关于#matlab#的问题：期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707，使系统具有较小的超调量
¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
¥30 截图中的mathematics程序转换成matlab
¥15 动力学代码报错，维度不匹配
¥15 Power query添加列问题
¥50 Kubernetes&Fission&Eleasticsearch
¥15 報錯：Person is not mapped，如何解決？

如何验证服务器的自签名证书

1条回答 默认 最新

悬赏问题

1条回答默认最新