Go TLS 客户端证书入门：什么时候需要 mTLS

普通 HTTPS 里，客户端验证服务器证书，确认自己连的是正确服务。mTLS，也就是双向 TLS，还要求客户端提供证书，服务器也验证客户端身份。内部服务调用、企业网关、支付接口、某些高安全 API 都可能要求客户端证书。

本文不深入证书体系，只讲 Go HTTP 客户端如何加载证书，以及使用时要注意哪些边界。

加载客户端证书

假设你有 client.crt 和 client.key：

func NewMTLSClient(certFile, keyFile string) (*http.Client, error) {
	cert, err := tls.LoadX509KeyPair(certFile, keyFile)
	if err != nil {
		return nil, fmt.Errorf("load client cert: %w", err)
	}

	tlsConfig := &tls.Config{
		Certificates: []tls.Certificate{cert},
		MinVersion:   tls.VersionTLS12,
	}

	transport := &http.Transport{
		TLSClientConfig: tlsConfig,
	}
	return &http.Client{
		Transport: transport,
		Timeout:   10 * time.Second,
	}, nil
}

然后：

client, err := NewMTLSClient("client.crt", "client.key")
if err != nil {
	log.Fatal(err)
}
resp, err := client.Get("https://internal.example.com/status")

证书和私钥路径应该来自配置或密钥管理，不要写死在代码里。

自定义 CA

内部服务可能使用企业 CA。客户端要信任这个 CA：

func loadRootCA(path string) (*x509.CertPool, error) {
	data, err := os.ReadFile(path)
	if err != nil {
		return nil, err
	}
	pool := x509.NewCertPool()
	if !pool.AppendCertsFromPEM(data) {
		return nil, errors.New("append ca failed")
	}
	return pool, nil
}

配置：

roots, err := loadRootCA("ca.pem")
tlsConfig := &tls.Config{
	RootCAs:      roots,
	Certificates: []tls.Certificate{cert},
	MinVersion:   tls.VersionTLS12,
}

不要为了“先跑起来”设置 InsecureSkipVerify: true。它会跳过服务器证书验证，等于放弃 HTTPS 很重要的一层保护。测试环境也应尽量使用正确 CA。

证书轮换

客户端证书会过期。服务需要有轮换计划：新证书什么时候部署，旧证书什么时候撤销，应用是否需要重启。如果证书在启动时加载，替换文件后不会自动生效，除非重启或实现动态加载。

入门阶段可以先接受“证书变化需要重启”。但要在文档里写清楚。不要等证书过期当天才发现服务一直拿着旧证书。

错误排查

mTLS 失败时，错误可能来自多处：客户端证书没加载、私钥不匹配、服务器不信任客户端 CA、客户端不信任服务器 CA、证书过期、域名不匹配。日志里不要打印私钥内容，但可以打印证书文件路径和错误上下文：

return nil, fmt.Errorf("create mtls client cert=%s ca=%s: %w", certFile, caFile, err)

路径本身是否敏感要看环境，至少不要把 PEM 内容打出来。

测试策略

完整 mTLS 测试需要生成测试证书，代码较长。很多项目会把证书加载函数单独测试：给不存在文件返回错误，给错误 PEM 返回错误。mTLS 握手可以放到集成测试里。

HTTP 客户端的业务逻辑仍然可以用接口或 httptest.Server 测试，不必每个测试都走真实证书。安全配置和业务行为分层，测试会更清楚。

和普通 API Key 的区别

API Key 通常在 HTTP 头里传递，比如 Authorization。mTLS 的客户端身份发生在 TLS 握手阶段，应用层 handler 之前。它能证明“这个连接持有某个私钥对应的证书”。两者可以同时使用：mTLS 保护服务到服务的连接，API token 表达具体租户或操作权限。

不要以为有了 mTLS 就不需要业务权限。证书通常代表服务身份，不一定代表最终用户。内部订单服务能连上支付服务，不表示它可以执行所有支付操作。网络身份和业务授权是两层边界。

证书文件权限

客户端私钥文件应该限制权限。服务进程能读取即可，不要让所有用户可读。部署脚本可以检查：

ls -l client.key

Go 程序也可以在启动时检查文件存在，但权限策略通常由运维和部署系统保证。关键是团队要把私钥当敏感信息处理，不要提交到仓库，不要写进普通日志，不要放进镜像公共层。

本地开发如何处理

本地开发可以使用专门的测试 CA 和测试证书。不要复用生产证书。证书生成脚本可以放在内部工具目录，明确标注“仅用于本地”。这样开发者能复现 mTLS 行为，又不会接触生产密钥。

连接复用和证书配置

HTTP client 会复用连接。TLS 配置通常在创建 Transport 时确定，所以不要每次请求临时改 TLSClientConfig。更好的做法是按目标服务创建一个长期复用的 client：

type InternalClient struct {
	http *http.Client
	baseURL string
}

证书轮换如果需要不停机生效，就要设计新的 transport 或动态证书回调。这已经超出入门范围，但要知道：替换磁盘文件不等于已有 client 自动换证书。

不同环境的证书要分开

开发、测试、生产应使用不同 CA 或不同客户端证书。不要为了省事让所有环境共用同一套私钥。证书一旦泄露，影响范围会非常大。配置名也要清楚，例如 MTLS_CERT_FILE、MTLS_KEY_FILE、MTLS_CA_FILE，让部署者知道每个文件的作用。

错误响应不要暴露证书细节

如果你的服务作为客户端调用下游 mTLS 失败，对外 API 不应该返回证书路径、CA 名称或底层握手细节。内部日志可以记录，用户响应只需要稳定错误码。安全配置属于内部实现，不应泄露给外部调用者。

启动时检查证书有效期

证书过期是很常见的线上故障。启动时可以读取证书并记录有效期：

func certNotAfter(cert tls.Certificate) (time.Time, bool) {
	if len(cert.Certificate) == 0 {
		return time.Time{}, false
	}
	x509Cert, err := x509.ParseCertificate(cert.Certificate[0])
	if err != nil {
		return time.Time{}, false
	}
	return x509Cert.NotAfter, true
}

如果距离过期只剩很短时间，可以打 warning 或让发布检查失败。证书问题适合提前发现，不适合等到请求失败时才处理。

最低 TLS 版本

示例里设置了 MinVersion: tls.VersionTLS12。这是一条很实用的安全底线。除非你必须兼容非常旧的系统，否则不要允许过旧协议。安全配置要保守，兼容性例外要有明确理由和记录。

小结

mTLS 在普通 HTTPS 基础上增加了客户端证书验证，适合内部服务和高安全接口。Go 客户端通过 tls.LoadX509KeyPair 加载证书，通过 tls.Config 配置 Certificates、RootCAs 和最低 TLS 版本。

不要使用 InsecureSkipVerify 逃避证书问题。证书路径、CA、轮换和错误日志都要明确。mTLS 是身份边界，不只是一个 HTTP client 参数。