17370845950

Go 通过 http.ListenAndServeTLS 启用 HTTPS，需指定 PEM 格式证书和私钥路径，端口显式设为 443；自签名证书可用 openssl 生成并指定 CN 或 IP SAN；双协议需启动两个 Server 实例；证书更新需用 GetCertificate 回调或优雅重启。

Go 的 http.Server 如何启用 HTTPS

Go 原生不区分 HTTP/HTTPS 启动逻辑，而是靠 http.ListenAndServeTLS 替代 http.ListenAndServe。它强制要求提供证书文件路径，不支持运行时动态加载或内存中证书（除非用 tls.Config.GetCertificate 自定义回调）。

• http.ListenAndServeTLS 第二个参数是证书路径（"cert.pem"），第三个是私钥路径（"key.pem"），二者必须 PEM 格式且可读
• 若证书链不完整（比如缺少中间 CA），浏览器可能报 ERR_CERT_AUTHORITY_INVALID，需把根证书和中间证书一起拼进 cert.pem
• 端口必须显式设为 443（或其它 HTTPS 常用端口），不能省略；":https" 这类服务名写法无效

package main

import (
    "log"
    "net/http"
)

func main() {
    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        w.Write([]byte("Hello over HTTPS"))
    })
    log.Fatal(http.ListenAndServeTLS(":443", "cert.pem", "key.pem", nil))
}

自签名证书在开发中怎么快速生成

生产环境必须用可信 CA 签发的证书，但本地调试时可用 openssl 一键生成自签名证书。注意：Go 的 http.ListenAndServeTLS 不校验证书域名，但浏览器会拒绝对 localhost 以外的域名使用自签名证书，除非手动信任。

• 生成私钥：openssl genrsa -out key.pem 2048
• 生成 CSR 并自签（关键：加 -subj 指定 CN=localhost）：openssl req -new -x509 -key key.pem -out cert.pem -days 365 -subj "/CN=localhost"
• 若测试用 IP（如 127.0.0.1），需用 -addext "subjectAltName = IP:127.0.0.1"（OpenSSL 1.1.1+），否则 Chrome 会直接拒绝

如何让 Go 服务同时支持 HTTP 和 HTTPS

Go 标准库不提供“自动跳转”或“双协议监听”内置能力。常见做法是启动两个独立 http.Server 实例，一个走 TLS，一个处理重定向或健康检查。

• HTTP 服务器只做 301 跳转到 HTTPS：http.Redirect(w, r, "https://"+r.Host+r.URL.String(), http.StatusMovedPermanently)
• 避免端口冲突：HTTPS 用 :443，HTTP 用 :80（需 root 权限）或 :8080（开发常用）
• 不要在同一个端口上混用 TLS 和非 TLS —— http.Serve 不识别 ALPN，无法协商协议
• 若部署在 Kubernetes 或 Nginx 后，通常由反向代理终止 TLS，Go 服务只需跑 HTTP，此时无需配置证书

证书更新后如何不中断服务

Go 的 http.Server 没有热重载证书的 API。硬重启会导

• 用 tls.Config + GetCertificate 回调函数，在每次 TLS 握手时按需读取最新证书（注意加锁和缓存，避免频繁 I/O）
• 借助外部信号（如 SIGHUP）触发 graceful shutdown + 新 server 启动，需自己管理 listener 复用（用 net.Listener 传入两个 server）
• 生产环境更推荐用 systemd 或容器编排工具滚动更新，而非在进程内 reload

证书路径写死、定期手动替换再重启，是最容易出错的方式 —— 容易忘记 reload，也容易因权限/路径错误导致启动失败。