配置golang TLS开发环境需生成自签名证书(CN=localhost)、服务端用ListenAndServeTLS加载server.crt/server.key,客户端须将server.crt加入RootCAs;常见错误是CN/SAN不匹配或未配置RootCAs。
要配置 golang TLS 证书开发环境,核心是生成自签名证书(用于本地调试),并在 Go 程序中正确加载和使用它们。不需要公网 CA,但需确保私钥安全、证书匹配、且服务端/客户端配置一致。
生成自签名 TLS 证书和私钥
用 Openssl 一行命令即可生成适用于开发的 server.crt 和 server.key:
openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodes -subj "/CN=localhost"说明:
- -x509:生成自签名证书(非 CSR)
- -subj “/CN=localhost”:关键!必须包含
localhost,否则 Go 客户端校验失败(默认启用 SNI 和域名验证) - –nodes:不加密私钥(开发方便;生产环境应加密并妥善管理)
- 也可加
-addext "subjectAltName = dns:localhost,IP:127.0.0.1"(OpenSSL 1.1.1+)增强兼容性
在 Go 服务端启用 TLS
使用 http.ListenAndServeTLS,传入证书和私钥路径:
立即学习“go语言免费学习笔记(深入)”;
log.Fatal(http.ListenAndServeTLS(":8443", "server.crt", "server.key", nil))注意:
- 端口建议用 8443(非 443),避免权限问题
- 若用
http.Server结构体,调用srv.ListenAndServeTLS("server.crt", "server.key") - 证书文件需可读,路径为相对或绝对路径(推荐放项目根目录或
./certs/下)
在 Go 客户端信任自签名证书
默认情况下,Go 客户端拒绝自签名证书。需手动将 server.crt 加入自定义 tls.Config 的 RootCAs:
基于ThinkPhp6+ swoole4+uniapp 开发的一套CRMEB新零售多商户商城系统。如果不会搭建请到 查看搭建说明系统环境推荐 使用 宝塔配置环境centos PHP7.3 mysql5.6新增功能: 01·新增支持销售虚拟产品自动发货 02.支持销售链接与卡密可导入导出 03.自定义后台路径对后台进行保护 04.新增支持商家缴纳保证金功能 05·违法或侵权商品一键举报功能 06·仲
0 
cert, _ := ioutil.ReadFile("server.crt") certPool := x509.NewCertPool() certPool.AppendCertsFromPEM(cert) <p>client := &http.Client{ Transport: &http.Transport{ TLSClientConfig: &tls.Config{RootCAs: certPool}, }, } resp, _ := client.Get("<a href="https://www.php.cn/link/efa4e6f5c6359cc2eadc5d731716468e">https://www.php.cn/link/efa4e6f5c6359cc2eadc5d731716468e</a>")常见错误:
- 忘记设置
RootCAs→ “x509: certificate signed by unknown authority” - 证书里 CN 不是 localhost 或没加 SAN → “x509: certificate is valid for xxx, not localhost”
- 用
InsecureSkipVerify: true虽能绕过,但仅限极简测试,不推荐写进代码
可选:生成客户端证书(双向 TLS)
如需 mTLS(服务端也验证客户端身份),再生成一对 client 证书:
# 生成客户端私钥和 CSR openssl genrsa -out client.key 4096 openssl req -new -key client.key -out client.csr -subj "/CN=client" <h1>用服务端私钥签发客户端证书(开发可用同一 CA)</h1><p>openssl x509 -req -in client.csr -CA server.crt -CAkey server.key -CAcreateserial -out client.crt -days 365服务端加载时需设置:
srv.TLSConfig = &tls.Config{ ClientCAs: certPool, // server.crt 加载后的 pool ClientAuth: tls.RequireAndVerifyClientCert, }客户端发起请求时带上 client.crt + client.key:
cert, _ := tls.LoadX509KeyPair("client.crt", "client.key") tr := &http.Transport{TLSClientConfig: &tls.Config{Certificates: []tls.Certificate{cert}}}基本上就这些。开发阶段证书生成和加载不复杂,但容易忽略 CN/SAN 和 RootCAs 配置,导致连接失败。保持证书路径清晰、内容匹配、验证逻辑明确,就能快速跑通 TLS 流程。