Hoverfly项目中Go客户端处理HTTPS证书问题的解决方案

问题背景

在使用Hoverfly的Go核心包进行测试时，开发者可能会遇到TLS证书验证失败的问题。具体表现为当通过Go代码启动Hoverfly代理并尝试捕获HTTPS流量时，会出现"x509: certificate signed by unknown authority"的错误提示。

问题分析

Hoverfly作为一个API模拟和测试工具，在拦截HTTPS流量时会动态生成证书进行中间人攻击(MITM)。默认情况下，Hoverfly使用内置的自签名CA证书来签发这些中间证书。虽然通过hoverctl命令行工具使用时系统会自动处理证书信任问题，但在直接使用Go核心包时，需要手动配置证书信任链。

解决方案

要解决这个问题，需要在Go客户端中显式地配置信任Hoverfly的CA证书。以下是完整的实现方案：

// 读取Hoverfly的CA证书文件
cert, err := ioutil.ReadFile("path/to/hoverfly/cert.pem")
if err != nil {
    log.Fatalf("无法加载证书文件: %v", err)
}

// 创建证书池并添加Hoverfly的CA证书
certPool := x509.NewCertPool()
if ok := certPool.AppendCertsFromPEM(cert); !ok {
    log.Fatalf("添加证书到证书池失败")
}

// 创建自定义Transport配置TLS
tr := &http.Transport{
    TLSClientConfig: &tls.Config{
        RootCAs: certPool,
    },
    // 配置代理设置
    Proxy: http.ProxyURL(&url.URL{
        Scheme: "http",
        Host:   "localhost:8500", // Hoverfly代理地址
    }),
}

// 创建使用自定义Transport的HTTP客户端
client := &http.Client{Transport: tr}

// 使用配置好的客户端发起请求
resp, err := client.Get("https://target.domain")
if err != nil {
    log.Fatalf("请求失败: %v", err)
}
defer resp.Body.Close()

实现说明

1. 证书加载：需要获取Hoverfly使用的CA证书，默认情况下可以在Hoverfly的源代码中找到(core/cert.pem)。

2. 证书池配置：创建x509.CertPool并将Hoverfly的CA证书添加到池中，这样Go的TLS栈就会信任由该CA签发的证书。

3. Transport配置：除了配置TLS外，还需要正确设置代理参数，确保流量通过Hoverfly代理。

4. 客户端使用：创建使用自定义Transport的http.Client，所有通过该客户端发起的请求都会自动处理证书验证和代理路由。

最佳实践建议

1. 将Hoverfly的CA证书作为测试资源嵌入到项目中，而不是硬编码路径。

2. 考虑创建一个专门的Hoverfly客户端工厂函数，封装这些配置逻辑。

3. 在测试结束后，确保正确关闭Hoverfly实例并清理资源。

4. 对于复杂的测试场景，可以考虑进一步定制TLS配置，如设置InsecureSkipVerify等选项(仅限测试环境)。

通过以上配置，开发者可以顺利地在Go测试中使用Hoverfly核心包进行HTTPS流量的捕获和模拟，而不会遇到证书验证失败的问题。