>백엔드 개발 >Golang >My Go TLS 다이얼이 \'x509: 인증서는 레거시 일반 이름 필드\'에 의존하므로 실패하는 이유는 무엇입니까?

My Go TLS 다이얼이 \'x509: 인증서는 레거시 일반 이름 필드\'에 의존하므로 실패하는 이유는 무엇입니까?

DDD
DDD원래의
2024-10-28 08:13:02763검색

 Why Does My Go TLS Dial Fail with

Go TLS 다이얼: 레거시 일반 이름 필드를 사용하는 X509 인증서로 연결하지 못했습니다.

이 문제는 서버에 연결하려고 할 때 발생합니다. Golang에서 TLS를 사용하며 서버의 인증서는 식별을 위해 레거시 일반 이름(CN) 필드를 사용합니다. 표준 Golang 라이브러리는 대신 SAN(주체 대체 이름)을 확인합니다.

원인:

기본적으로 Golang 런타임은 최선의 방법으로 서버 인증서가 SAN을 제공하는지 확인합니다. 보안 관행. 인증서에 SAN이 없고 대신 CN 필드를 사용하여 식별하는 경우 Go 런타임은 연결을 거부하고 오류 메시지를 표시합니다.

failed to connect: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

해결 방법:

이 문제를 해결하려면 두 가지 옵션이 있습니다:

1. SAN을 사용하도록 서버 인증서 수정:

클라이언트가 연결하는 데 사용할 호스트 이름 또는 IP 주소에 해당하는 SAN을 포함하도록 서버 인증서를 다시 생성합니다. 여기에는 CA(인증 기관) 및 OpenSSL 명령을 사용하여 적절한 SAN이 포함된 인증서를 생성하는 작업이 포함됩니다.

2. 일시적으로 CN 일치 비활성화:

GODEBUG 환경 변수를 다음과 같이 설정하여 SAN에 대한 Go 런타임 검사를 일시적으로 비활성화할 수 있습니다:

GODEBUG=x509ignoreCN=0 go run your_program.go

참고: CN 일치를 비활성화하는 것은 권장되는 해결 방법이 아닙니다. CN이 있는 인증서는 허용하지만 SAN이 없는 인증서는 허용하여 TLS 연결의 보안이 저하되기 때문입니다.

위 내용은 My Go TLS 다이얼이 \'x509: 인증서는 레거시 일반 이름 필드\'에 의존하므로 실패하는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.