我正在使用 AWS API Gateway 和 Go 后端。為了確保所有連接都通過 API Gateway，我需要使用 TLS 客戶端身份驗證（又名雙向身份驗證，相互身份驗證）。原則上，這適用于以下內容：func enableClientAuth(server *http.Server, clientCertFile string) error {    clientCert, err := ioutil.ReadFile(clientCertFile)    if err != nil {        return err    }    caCertPool := x509.NewCertPool()    caCertPool.AppendCertsFromPEM(clientCert)    tlsConfig := &tls.Config{        ClientAuth: tls.RequireAndVerifyClientCert,        ClientCAs:  caCertPool,    }    tlsConfig.BuildNameToCertificate()    server.TLSConfig = tlsConfig    return nil}我遇到的問題是這個錯誤：tls：無法驗證客戶端的證書：x509：由未知機構簽署的證書（可能是因為“x509：無效簽名：父證書無法簽署此類證書”，同時嘗試驗證候選機構證書“ApiGateway”）這似乎是因為客戶端證書是自簽名的，但不是CA證書，Go不會接受簽名。（這不是違背了自簽名證書的目的嗎？我見過的大多數自簽名證書都不是 CA 證書。）不幸的是，我無法控制客戶端證書的生成或發送方式；這一切都由 AWS 完成。我可以做些什么來在 ClientCAs 證書池中獲取證書，從而導致 Go 接受 API Gateway 客戶端證書？