Go 用 http.ListenAndServeTLS 启动 HTTPS 服务,需 PEM 格式证书(域名证+中间证)和未加密私钥;自签名证需含 SAN;生产推荐 certmagic 自动化 ACME;HTTP 重定向需单独 :80 server 并发运行。
Go 的 http.ListenAndServeTLS 是启用 HTTPS 的核心函数
Go 标准库不依赖外部 Web 服务器,直接用 http.ListenAndServeTLS 就能启动带 TLS 的 HTTP 服务。它要求传入两个参数:certFile(证书文件路径)和 keyFile(私钥文件路径),且必须是 PEM 格式。
常见错误是把证书链顺序搞错,比如把中间证书放在根证书前面,或漏掉中间证书——浏览器会报 x509: certificate signed by unknown authority。
- 证书文件(
cert.pem)应按「域名证书 → 中间证书」顺序拼接,不能包含私钥 - 私钥文件(
key.pem)必须是未加密的 PEM 格式;若用openssl genrsa -aes256生成过带密码的私钥,需先用openssl rsa -in key.pem.enc -out key.pem去密 - 确保文件路径可读,且 Go 进程有权限打开它们;本地测试时建议用绝对路径,避免工作目录影响
自签名证书用于开发环境快速验证
生产环境必须用 CA 签发的证书,但开发调试时可用 openssl req 生成自签名证书。关键点在于:Subject Alternative Name(SAN)必须包含你将访问的域名或 IP,否则现代浏览器(Chrome/Firefox)会拒绝连接,报 NET::ERR_CERT_INVALID。
生成命令示例(支持 localhost 和 127.0.0.1):
立即学习“go语言免费学习笔记(深入)”;
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost" -addext "subjectAltName = DNS:localhost,IP:127.0.0.1"
- Go 代码中仍调用
http.ListenAndServeTLS(":8443", "cert.pem", "key.pem", nil) - 浏览器首次访问会提示不安全,需手动点击“高级 → 继续访问”;curl 则加
-k跳过校验 - 不要把自签名私钥提交到 Git,尤其不能出现在生产构建镜像中
使用 Let's Encrypt 证书需配合 ACME 客户端(如 certmagic)
Go 原生 http.ListenAndServeTLS 不支持自动申请/续期证书。若想零配置跑 HTTPS,推荐用 certmagic 库——它封装了 ACME 协议,能自动向 Let's Encrypt 申请、续订并热加载证书。
只需几行代码:
import "github.com/caddyserver/certmagic"
func main() {
certmagic.DefaultACME.Agreed = true
certmagic.DefaultACME.Email = "admin@example.com"
certmagic.HTTPPort = 80
certmagic.HTTPSPort = 443
http.Handle("/", http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
w.Write([]byte("Hello over HTTPS!"))
}))
log.Fatal(certmagic.HTTPS([]string{"example.com"}, nil))
}
- 第一次运行会自动监听
:80完成 HTTP-01 挑战,然后申请证书并监听:443 - 证书自动续期(默认提前 30 天),无需重启进程
- 注意:生产环境必须开放公网 80/443 端口,且域名 DNS 解析指向该服务器
HTTP 重定向到 HTTPS 是常见但易错的配置点
只开 HTTPS 不够,用户可能仍从 http:// 访问。标准做法是在 HTTP 端口启动一个单独的 server,把所有请求 301 重定向到 HTTPS。
典型实现:
go func() {
http.RedirectHandler("https://"+r.Host+r.RequestURI, http.StatusMovedPermanently)
}()
http.ListenAndServe(":80", nil)
http.ListenAndServeTLS(":443", "cert.pem", "key.pem", nil)
证书路径权限、SAN 字段、ACME 自动化、HTTP→HTTPS 重定向——这四点任一出错都会导致 HTTPS 启动失败或浏览器报错,且错误信息往往藏在日志末尾或客户端控制台里,容易忽略。 
