go - 对特定主机使用 TLS/SSL 客户端身份验证

Question

当使用像 httprouter by julienschmidt 这样的反向代理时，如何对特定主机使用 TLS/SSL 客户端身份验证?
我可以使用 http.DefaultTransport 在全局事务中设置客户端证书.

transport := &http.Transport{
    TLSClientConfig: &tls.Config{
        Certificates: []tls.Certificate{cert},
    },
}

http.DefaultTransport = transport

但只想将客户端证书用于 特定主机 ， 喜欢:

用于主机 1 的证书 1

用于主机 2 的证书 2

的所有其他内容没有客户证书

更新
我预计回调 GetConfigForClientHandler或者GetCertificateHandler会被调用。在这一点上，我可以对 info.ServerName 使用react.但只有 GetClientCertificate在没有关于目标的信息的情况下被调用 info.ServerName .

func main() {
    transport := &http.Transport{
        TLSClientConfig: &tls.Config{
            GetConfigForClient:   GetConfigForClientHandler,
            GetClientCertificate: GetClientCertificateHandler,
            GetCertificate:       GetCertificateHandler,
        },
    }

    http.DefaultTransport = transport

    // Host which enforce client certificate authentication
    resp, err := http.Get("https://example.com")
    if err != nil {
        fmt.Println("Error", err)
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}

func GetClientCertificateHandler(info *tls.CertificateRequestInfo) (*tls.Certificate, error) {
    fmt.Println("GetClientCertificateHandler")
    panic("GetClientCertificateHandler")
}

func GetConfigForClientHandler(info *tls.ClientHelloInfo) (*tls.Config, error) {
    fmt.Println("GetConfigForClientHandler for:", info.ServerName)
    panic("GetConfigForClientHandler")
}

func GetCertificateHandler(info *tls.ClientHelloInfo) (*tls.Certificate, error) {
    fmt.Println("GetCertificateHandler for:", info.ServerName)
    panic("GetCertificateHandler")
}

Answer 1

创建一个为所有主机共享的 TLS 配置。可能你不需要在那里设置太多。但是你想设置一个 Config.GetConfigForClient 处理程序。

在该处理程序中，您检查 ClientHelloInfo.ServerName .那是请求的主机。然后修改 TLS 配置以要求客户端身份验证 ( Config.ClientAuth )。

用 tls.NewListener 包裹你的 net.Listener

使用您的 TLS net.Listener在 http.Serve (这里是你可以使用 httprouter 的地方)