配置Golang TLS开发环境需生成自签名证书(CN=localhost)、服务端用ListenAndServeTLS加载server.crt/server.key,客户端须将server.crt加入RootCAs;常见错误是CN/SAN不匹配或未配置RootCAs。
要配置 Golang TLS 证书开发环境,核心是生成自签名证书(用于本地调试),并在 Go 程序中正确加载和使用它们。不需要公网 CA,但需确保私钥安全、证书匹配、且服务端/客户端配置一致。
用 OpenSSL 一行命令即可生成适用于开发的 server.crt 和 server.key:
openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodes -subj "/CN=localhost"
说明:
localhost,否则 Go 客户端校验失败(默认启用 SNI 和域名验证)-addext "subjectAltName = DNS:localhost,IP:127.0.0.1"(OpenSSL 1.1.1+)增强兼容性使用 http.ListenAndServeTLS,传入证书和私钥路径:
log.Fatal(http.ListenAndServeTLS(":8443", "server.crt", "server.key", nil))注意:
http.Server 结构体,调用 srv.ListenAndServeTLS("server.crt", "server.key")
./certs/ 下)默认情况下,Go 客户端拒绝自签名证书。需手动将 server.crt 加入自定义 tls.Config 的 RootCAs:
cert, _ := ioutil.ReadFile("server.crt")
certPool := x509.NewCertPool()
certPool.AppendCertsFromPEM(cert)
client := &http.Client{
Transport: &http.Transport{
TLSClientConfig: &tls.Config{RootCAs: certPool},
},
}
resp, _ := client.Get("https://www./link/efa4e6f5c6359cc2eadc5d731716468e")
常见错误:
RootCAs → “x509: certificate signed by unknown authority”InsecureSkipVerify: true 虽能绕过,但仅限极简测试,不推荐写进代码如需 mTLS(服务端也验证客户端身份),再生成一对 client 证书:
# 生成客户端私钥和 CSR openssl genrsa -out client.key 4096 openssl req -new -key client.key -out client.csr -subj "/CN=client"用服务端私钥签发客户端证书(开发可用同一 CA)
openssl x509 -req -in client.csr -CA server.cr
t -CAkey server.key -CAcreateserial -out client.crt -days 365
服务端加载时需设置:
t -CAkey server.key -CAcreateserial -out client.crt -days 365srv.TLSConfig = &tls.Config{
ClientCAs: certPool, // server.crt 加载后的 pool
ClientAuth: tls.RequireAndVerifyClientCert,
}客户端发起请求时带上 client.crt + client.key:
cert, _ := tls.LoadX509KeyPair("client.crt", "client.key")
tr := &http.Transport{TLSClientConfig: &tls.Config{Certificates: []tls.Certificate{cert}}}基本上就这些。开发阶段证书生成和加载不复杂,但容易忽略 CN/SAN 和 RootCAs 配置,导致连接失败。保持证书路径清晰、内容匹配、验证逻辑明确,就能快速跑通 TLS 流程。