go调用Https时出错:certificate signed by unknown authority

发表于 | 分类于 | 阅读次数:

今天在使用golang请求微信服务时,出现错误。

x509: certificate signed by unknown authority

从日志来看go实现的Client端默认也是要对服务端传过来的数字证书进行校验的,但客户端提示:这个证书是由不知名CA签发 的!

对应这个问题,有2种不同的解决办法。

client端忽略证书的校验

示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
package main

import (
    "fmt"
    "io/ioutil"
    "net/http"
)

func main() {
    resp, err := http.Get("https://localhost:8081")
    if err != nil {
        fmt.Println("error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}

此时运行客户端,会提示错误

1
error: Get https://localhost:8081: x509: certificate signed by unknown authority

可以修改代码,忽略对证书的校验:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
package main

import (
    "crypto/tls"
    "fmt"
    "io/ioutil"
    "net/http"
)

func main() {
    tr := &http.Transport{
        TLSClientConfig:    &tls.Config{InsecureSkipVerify: true},
    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://localhost:8081")

    if err != nil {
        fmt.Println("error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}

设置tls.Config的InsecureSkipVerify为true,client将不再对服务端的证书进行校验

添加CA证书

可以添加ca-certificates证书

可以将CA证书打包到docker镜像

1
2
RUN apk --no-cache add ca-certificates \
  && update-ca-certificates

使用apk命令安装我们需要的包ca-certificates(以便使用TLS的页面)

参考文章

Alpine Linux添加Let’s Encrypt CA证书或者自签CA证书

golang GET 出现 x509: certificate signed by unknown authority

螃蟹 wechat
欢迎您扫一扫上面的微信公众号,订阅我的博客!
坚持原创技术分享,您的支持将鼓励我继续创作!