Go: 使用x509.CreateCertificate方法签发带CA的证书

运维开发王义杰

发布于 2024-02-26 15:02:08

2470

发布于 2024-02-26 15:02:08

在Go语言的开发过程中，crypto/x509库是一个强大的工具，它用于处理X.509编码的证书。这个库提供了广泛的功能，其中x509.CreateCertificate函数是最核心的部分之一。这个函数能够创建新的X.509证书。本文将详细讲解如何使用这个函数来指定CA（证书颁发机构）创建证书，而非创建没有CA的自签名证书。

理解X.509证书

在深入探讨之前，我们首先需要理解X.509证书和CA的基本概念。X.509证书是一种电子证书，用于证实网络中实体的身份，而CA则是颁发和验证这些证书的权威机构。一个CA颁发的证书可以用来签发其他证书，形成一个信任链。

`x509.CreateCertificate` 函数概览

x509.CreateCertificate 是一个用于生成X.509证书的函数。其函数原型如下：


go
func CreateCertificate(rand io.Reader, template *x509.Certificate, parent *x509.Certificate, pub any, priv any) ([]byte, error)

rand: 随机数生成器，用于生成证书的序列号等。
template: 要创建的证书的模板。
parent: 签发者的证书。如果要创建的是CA证书，则此处应为自己的证书；如果是非CA，则为上级CA的证书。
pub: 被签发者的公钥。
priv: 签发者的私钥，用于签署证书。

创建CA证书

要创建一个CA证书，你需要设置template参数的某些字段，特别是IsCA字段和KeyUsage字段。

生成CA的密钥对：首先，你需要生成CA的密钥对。这通常涉及到创建一个RSA或者ECDSA的公钥和私钥。


go
priv, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
    log.Fatalf("生成RSA密钥出错: %v", err)
}
pub := &priv.PublicKey

创建CA证书模板：然后，创建一个x509.Certificate的实例作为CA证书的模板。


go
ca := &x509.Certificate{
    SerialNumber: big.NewInt(2020),
    Subject: pkix.Name{
        Organization: []string{"Example CA"},
    },
    NotBefore: time.Now(),
    NotAfter:  time.Now().AddDate(10, 0, 0),

    KeyUsage:              x509.KeyUsageCertSign | x509.KeyUsageDigitalSignature,
    ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth, x509.ExtKeyUsageClientAuth},
    BasicConstraintsValid: true,
    IsCA:                  true,
}

使用模板和私钥创建CA证书：最后，使用x509.CreateCertificate函数和之前创建的密钥对创建CA证书。


go
caBytes, err := x509.CreateCertificate(rand.Reader, ca, ca, pub, priv)
if err != nil {
    log.Fatalf("创建CA证书失败: %v", err)
}

创建由CA签发的证书

一旦有了CA证书和相应的私钥，你就可以开始创建由该CA签发的证书了。这个过程和创建CA证书类似，不过需要将parent参数设置为CA证书，而template则为你想要创建的证书的模板。

生成证书的密钥对：和之前一样，首先生成公钥和私钥。
创建证书模板：创建一个x509.Certificate的实例作为证书的模板。确保IsCA字段为false，除非你想要这个证书作为中间CA。
使用CA证书和私钥签发新证书：使用x509.CreateCertificate函数、CA的证书、CA的私钥、新证书的公钥来创建新证书。

代码示例

下面是一个完整的示例，展示了如何创建一个CA证书以及一个由该CA签发的证书。


go
package main

import (
    "crypto/rand"
    "crypto/rsa"
    "crypto/x509"
    "crypto/x509/pkix"
    "math/big"
    "time"
    "log"
)

func main() {
    // 为CA生成RSA密钥
    caPriv, _ := rsa.GenerateKey(rand.Reader, 2048)
    caPub := &caPriv.PublicKey

    // 创建CA证书模板
    ca := &x509.Certificate{
        // ...填入上面提到的字段...
    }

    // 创建CA证书
    caBytes, _ := x509.CreateCertificate(rand.Reader, ca, ca, caPub, caPriv)

    // 为用户证书生成RSA密钥
    userPriv, _ := rsa.GenerateKey(rand.Reader, 2048)
    userPub := &userPriv.PublicKey

    // 创建用户证书模板
    user := &x509.Certificate{
        // ...填入相应字段，但不是CA...
    }

    // 使用CA证书和私钥签发用户证书
    userBytes, _ := x509.CreateCertificate(rand.Reader, user, ca, userPub, caPriv)

    // 这里caBytes和userBytes就是PEM编码的证书
    // 可以将它们写入文件或进行其他处理
}