如何在 Go 中获取并解析远程 TLS 证书信息

本文详解如何使用 Go 的 crypto/tls 包建立 TLS 连接后，安全、可靠地提取并解析远程服务器（或客户端）的 X.509 证书，包括颁发者、有效期、主题名（Common Name）、DNS 名称等关键字段。

本文详解如何使用 go 的 `crypto/tls` 包建立 tls 连接后，安全、可靠地提取并解析远程服务器（或客户端）的 x.509 证书，包括颁发者、有效期、主题名（common name）、dns 名称等关键字段。

在 Go 应用中实现双向 TLS（mTLS）认证或仅需验证服务端身份时，常需深入检查对端证书的详细信息——例如 Common Name（CN）、Subject Alternative Names（SANs）、有效期、颁发机构（Issuer）及签名算法等。标准库 crypto/tls 并未直接暴露“获取证书”的高层 API，但通过 tls.Conn.ConnectionState() 方法可访问完整的握手状态，其中 PeerCertificates 字段即为已验证的远程证书链（按从叶证书到根证书顺序排列）。

以下是一个完整、可运行的示例，演示如何连接 HTTPS 服务并解析其叶证书（即服务器证书）：

Midjourney

当前最火的AI绘图生成工具，可以根据文本提示生成华丽的视觉图片。

下载

package main

import (
    "crypto/tls"
    "fmt"
    "log"
    "time"
)

func main() {
    conf := &tls.Config{
        // ⚠️ 生产环境务必禁用 InsecureSkipVerify！
        // 此处仅用于演示；实际应配置合适的 RootCAs 或启用 VerifyPeerCertificate
        InsecureSkipVerify: true,
    }

    conn, err := tls.Dial("tcp", "www.google.com:443", conf)
    if err != nil {
        log.Fatalf("TLS dial failed: %v", err)
    }
    defer conn.Close()

    state := conn.ConnectionState()
    if len(state.PeerCertificates) == 0 {
        log.Fatal("no peer certificate received")
    }

    // 获取叶证书（索引 0），即服务器证书
    cert := state.PeerCertificates[0]
    fmt.Printf("✅ Certificate Subject: %s\n", cert.Subject)
    fmt.Printf(" issuer: %s\n", cert.Issuer)
    fmt.Printf(" common name: %s\n", cert.Subject.CommonName)
    fmt.Printf(" serial number: %x\n", cert.SerialNumber)
    fmt.Printf(" not before: %s\n", cert.NotBefore.Format(time.RFC3339))
    fmt.Printf(" not after:  %s\n", cert.NotAfter.Format(time.RFC3339))

    // ✅ 推荐：优先检查 Subject Alternative Names（SANs），RFC 要求现代证书必须包含 SAN
    if len(cert.DNSNames) > 0 {
        fmt.Printf(" dns names: %v\n", cert.DNSNames)
    }
    if len(cert.IPAddresses) > 0 {
        fmt.Printf(" ip addresses: %v\n", cert.IPAddresses)
    }

    // ? 可选：验证证书是否由可信 CA 签发（需正确配置 tls.Config.RootCAs）
    if !state.HandshakeComplete {
        log.Println("warning: handshake incomplete")
    }
}

关键注意事项：

• InsecureSkipVerify: true 仅限开发调试；生产环境中必须移除，并通过 tls.Config.RootCAs 显式指定受信任的根证书池，或实现自定义 VerifyPeerCertificate 钩子以增强安全性。
• PeerCertificates 返回的是已验证通过的证书链（前提是验证未被跳过），因此可放心解析其字段。
• cert.Subject.CommonName 已被现代 TLS 实践弱化（Chrome/Firefox 等主流浏览器不再依赖 CN 进行域名匹配），务必优先校验 DNSNames 或 IPAddresses 字段，确保与目标主机名/地址一致。
• 若用于服务端接收客户端证书（mTLS），需在 tls.Config.ClientAuth 中设置 RequireAndVerifyClientCert，并在 http.Handler 或 tls.Conn 的 Handshake() 后调用 ConnectionState().PeerCertificates 获取客户端证书。

掌握此方法，你即可在 Go 中构建健壮的证书感知型网络服务——无论是实现细粒度客户端鉴权、证书吊销检查（OCSP），还是合规性审计日志，都具备了底层数据支撑。