启用mtls需设tlsconfig.clientauth为tls.requireandverifyclientcert并配置clientcas;客户端须加载服务端ca至rootcas、自身证书链至certificates;连接复用需避免动态tls.config;grpc拦截器中通过peer.authinfo提取验证后证书链。
Go 服务端如何启用 mTLS 双向认证
不配置 TLSConfig.ClientAuth,mTLS 就只是单向 TLS——客户端根本不会被校验证书,所谓“双向”就不存在。关键不是加证书,而是强制要求并验证对方证书。
实操要点:
-
TLSConfig.ClientAuth必须设为tls.RequireAndVerifyClientCert(不能用tls.VerifyClientCertIfGiven,后者允许无证书连接) - 必须提供
TLSConfig.ClientCAs—— 这是服务端用来验证客户端证书签名的 CA 根证书池,不是客户端证书本身 - 服务端自己的证书(
cert.pem+key.pem)由http.ListenAndServeTLS或grpc.Creds加载,和 ClientCAs 完全分离 - 若用
net/http.Server,记得把TLSConfig挂到srv.TLSConfig上,再调用srv.ListenAndServeTLS("", "");空字符串表示从TLSConfig读取证书
Go 客户端发起 mTLS 请求时证书加载失败的典型表现
常见错误是 x509: certificate signed by unknown authority 或 tls: failed to verify client's certificate,本质都是证书链没对上。
排查重点:
立即学习“go语言免费学习笔记(深入)”;
- 客户端用
tls.Dial或http.DefaultTransport时,tls.Config.RootCAs必须加载服务端的 CA 证书(即签发服务端证书的那个根或中间 CA),不是服务端的公钥证书 - 客户端自己的证书+私钥要通过
tls.Config.Certificates加载,且Certificates[0].Certificate是完整的证书链(含中间证书),否则服务端可能无法构建信任链 - gRPC 客户端若用
credentials.NewTLS,传入的*tls.Config同样需同时满足 RootCAs 和 Certificates 两套配置 - 用
openssl s_client -connect host:port -cert client.crt -key client.key -CAfile ca.crt可快速验证证书组合是否有效
为什么 Go 的 http.Transport 默认不复用 mTLS 连接
因为 http.Transport 的连接复用(keep-alive)默认基于 Host + Port + TLS 配置哈希,而 mTLS 场景下每个客户端证书不同,tls.Config 实例若动态生成(比如每次请求都 new 一个带不同 Certificates 的 config),会导致哈希值总变,连接无法复用。
解决办法只有两个:
- 所有客户端共用同一套证书(适合内部网关后统一出口的场景),此时可复用
http.Transport实例 - 若每个请求必须带独立证书(如按租户隔离),则必须禁用复用:
Transport.MaxIdleConnsPerHost = 0,否则会复用旧连接、导致证书错乱或 400 错误 - 更稳妥的做法是:为每个证书组合预建独立的
http.Transport实例,并缓存复用——但要注意RootCAs和Certificates的生命周期管理,避免内存泄漏
gRPC-Go 中 mTLS 与拦截器的权限校验顺序陷阱
在 UnaryInterceptor 里拿不到原始 TLS 信息?因为 gRPC 的 credentials.TransportCredentials 在握手阶段就完成了证书校验,但校验结果默认不透出到业务层。
必须手动提取:
- 在拦截器中调用
peer.FromContext(ctx),检查peer.AuthInfo是否为credentials.TLSInfo类型 -
TLSInfo.State.VerifiedChains是服务端验证后的证书链,取[0][0]可得客户端证书,用Subject.CommonName或URIs做权限判断 - 注意:如果服务端
TLSConfig.ClientAuth设为RequireAndVerifyClientCert,但客户端证书被 CA 吊销,VerifiedChains仍可能非空——Go 标准库不自动做 OCSP/CRL 检查,需自行集成 - 别在拦截器里解析
req.Header.Get("X-SSL-Client-Cert"):HTTP/2 不传这类头,那是反向代理(如 Nginx)注入的伪字段
