前言

假设gRPC服务端的主机名为qw.er.com,需要为gRPC服务端和客户端之间的通信配置tls双向认证加密。

生成证书

  1. 生成ca根证书。生成过程会要求填写密码、CN、ON、OU等信息,记住密码。
openssl req -x509 -newkey rsa:4096 -keyout ca.key -out ca.crt -subj "/CN=qw.er.com" -days 365
  1. 新建并编辑文件openssl.cnf文件。req_distinguished_name中内容按需填写,DNS.1要替换成实际域名。
[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

prompt = no

[req_distinguished_name]

countryName = CN

stateOrProvinceName = Anhui

localityName = Hefei

organizationName = zhangsan

commonName = qw.er.com

[v3_req]

subjectAltName = @alt_names

[alt_names]

DNS.1 = qw.er.com
  1. 生成服务端证书
openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf
  1. 生成客户端证书
openssl req -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in client.csr -out client.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf

proto示例

用的还是入门级的helloworld

syntax = "proto3";   // protocol buffers版本

option go_package = "./;proto";   // 生成的Go代码将被放在当前目录,并使用proto作为包名称

// 定义grpc服务的接口。服务就是一组可被远程调用的方法

service Greeter {

	// 定义远程调用方法

    rpc SayHello (HelloRequest) returns (HelloReply);

}

// 定义消息格式和消息类型

message HelloRequest {

    string name = 1; // 1 是二进制格式中的字段编号, 应该唯一

}

message HelloReply {

    string message = 1;

}

生成go代码:

protoc --go_out=. --go_opt=paths=source_relative --go-grpc_out=. --go-grpc_opt=paths=source_relative hello.proto

服务端代码示例

如果需要客户端和服务端直接通信,可以参考以下示例代码。

package main

import (

	pb "grpcs/proto"

	"context"

	"crypto/tls"

	"crypto/x509"

	"flag"

	"fmt"

	"log"

	"net"

	"os"

	"google.golang.org/grpc"

	"google.golang.org/grpc/credentials"

)

var (

	port    = flag.Int("port", 8010, "the server port")

	crtFile = flag.String("crt", "server.crt", "the server crt file")

	keyFile = flag.String("key", "server.key", "the server key file")

	caFile  = flag.String("ca", "ca.crt", "the server ca file")

)

type server struct{

	pb.UnimplementedGreeterServer

}

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {

	log.Printf("Received: %v", in.GetName())

	return &pb.HelloReply{Message: "Hello " + in.GetName()}, nil

}

func main() {

	flag.Parse()

	// 通过服务端的证书和密钥直接创建X.509密钥对

	certificate, err := tls.LoadX509KeyPair(*crtFile, *keyFile)

	if err != nil {

		log.Fatalf("Failed to load key pair: %v", err)

	}

	// 通过CA创建证书池

	certPool := x509.NewCertPool()

	ca, err := os.ReadFile(*caFile)

	if err != nil {

		log.Fatalf("Failed to read ca: %v", err)

	}

	// 将来自CA的客户端证书附加到证书池

	if ok := certPool.AppendCertsFromPEM(ca); !ok {

		log.Fatalf("Failed to append ca certificate")

	}

	opts := []grpc.ServerOption{

		grpc.Creds( // 为所有传入的连接启用TLS

			credentials.NewTLS(&tls.Config{

				ClientAuth: tls.RequireAndVerifyClientCert,

				Certificates: []tls.Certificate{certificate},

				ClientCAs: certPool,

			},

		)),

	}

	listen, err := net.Listen("tcp", fmt.Sprintf("0.0.0.0:%d", *port))

	if err != nil {

		log.Fatalf("failed to listen %d port", *port)

	}

	// 通过传入的TLS服务器凭证创建新的gRPC服务实例

	s := grpc.NewServer(opts...)

	pb.RegisterGreeterServer(s, &server{})

	log.Printf("server listening at %v", listen.Addr())

	if err := s.Serve(listen); err != nil {

		log.Fatalf("Failed to serve: %v", err)

	}

}

运行:

go build -o server.bin

./server.bin -ca ca.crt -crt server.crt -key server.key -port 8010

客户端代码示例

package main

import (

	pb "grpcc/proto"

	"context"

	"crypto/tls"

	"crypto/x509"

	"flag"

	"log"

	"os"

	"time"

	"google.golang.org/grpc"

	"google.golang.org/grpc/credentials"

)

var (

	addr     = flag.String("addr", "qw.er.com:8010", "server address")

	hostname = flag.String("host", "qw.er.com", "server hostname")

	crtFile  = flag.String("crt", "client.crt", "client crt file")

	keyFile  = flag.String("key", "client.key", "client key file")

	caFile   = flag.String("ca", "ca.crt", "ca file")

	name = flag.String("n", "zhangsan", "name")

)

func main() {

	flag.Parse()

	certificate, err := tls.LoadX509KeyPair(*crtFile, *keyFile)

	if err != nil {

		log.Fatalf("Failed to load client key pair, %v", err)

	}

	certPool := x509.NewCertPool()

	ca, err := os.ReadFile(*caFile)

	if err != nil {

		log.Fatalf("Failed to read %s, error: %v", *caFile, err)

	}

	if ok := certPool.AppendCertsFromPEM(ca); !ok {

		log.Fatalf("Failed to append ca certs")

	}

	opts := []grpc.DialOption{

		grpc.WithTransportCredentials(credentials.NewTLS(

			&tls.Config{

				ServerName:   *hostname,

				Certificates: []tls.Certificate{certificate},

				RootCAs:      certPool,

			})),

	}

	// conn, err := grpc.Dial(*addr, grpc.WithTransportCredentials(insecure.NewCredentials()))

	conn, err := grpc.Dial(*addr, opts...)

	if err != nil {

		log.Fatalf("Connect to %s failed", *addr)

	}

	defer conn.Close()

	client := pb.NewGreeterClient(conn)

	// 创建带有超时时间的上下文, cancel可以取消上下文

	ctx, cancel := context.WithTimeout(context.Background(), time.Second*3)

	defer cancel()

	// 业务代码处理部分 ...

	r, err := client.SayHello(ctx, &pb.HelloRequest{Name: *name})

	if err != nil {

		log.Printf("Failed to greet, error: %v", err)

	} else {

		log.Printf("Greeting: %v",r.GetMessage())

	}

}

运行:

go build -o client.bin

./client.bin -addr qw.er.com:8010 -host qw.er.com -ca ca.crt -crt client.crt -key client.key -name 'lisi'

nginx代理

某些场景下服务端和客户端无法直接通信,需要在中间加个nginx反向代理服务端。目前个人方案是客户端与nginx之间为https双向加密通信,nginx与服务端之间为http普通通信。

客户端代码无需改动,服务端就是去掉tls相关配置,示例:

package main

import (

	"context"

	"flag"

	"fmt"

	"log"

	"net"

	pb "grpcs/proto"

	"google.golang.org/grpc"

)

var (

	port = flag.Int("port", 8010, "The server port")

)

// server is used to implement hello.GreeterServer.

type server struct {

	pb.UnimplementedGreeterServer

}

// SayHello 实现 proto 中的 service Greeter

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {

	log.Printf("Received: %v", in.GetName())

	return &pb.HelloReply{Message: "Hello " + in.GetName()}, nil

}

func main() {

	flag.Parse()

	lis, err := net.Listen("tcp", fmt.Sprintf(":%d", *port))

	if err != nil {

		log.Fatalf("failed to listen: %v", err)

	}

	s := grpc.NewServer()

	pb.RegisterGreeterServer(s, &server{})

	log.Printf("server listening at %v", lis.Addr())

	if err := s.Serve(lis); err != nil {

		log.Fatalf("failed to serve: %v", err)

	}

}

tls证书配到nginx:

server {

    listen       80 ssl http2;

    server_name  qw.er.com;

	# 证书文件路径

    ssl_certificate /home/admin/apps/openresty/nginx/certs/qwer/server.crt;

    ssl_certificate_key /home/admin/apps/openresty/nginx/certs/qwer/server.key;

    # 验证客户端证书

    ssl_verify_client on;

    ssl_client_certificate /home/admin/apps/openresty/nginx/certs/qwer/ca.crt;

	# 反向代理服务端

    location / {

        grpc_pass grpc://192.168.1.111:8010;

    }

}

[grpc]双向tls加密认证的更多相关文章

  1. elk 系列:Elasticsearch 7.2 集群部署+TLS 加密+认证登陆

    背景 2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供. 这意味着用户现在能够对网络流量进行加密.创建和管理用户. ...

  2. Go gRPC进阶-TLS认证+自定义方法认证(七)

    前言 前面篇章的gRPC都是明文传输的,容易被篡改数据.本章将介绍如何为gRPC添加安全机制,包括TLS证书认证和Token认证. TLS证书认证 什么是TLS TLS(Transport Layer ...

  3. idou老师教你学Istio 17 : 通过HTTPS进行双向TLS传输

    众所周知,HTTPS是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输 ...

  4. 《LDAP服务器和客户端的加密认证》RHEL6——第二篇 运维工程师必考

    服务端的配置: (基于原先配好的ldap服务器)打开加密认证: Iptables –F  setenforce 0 1.编辑ldap的配置文件:slapd.conf 2.启动ldap服务器: 3.切换 ...

  5. Docker实战 | 第四篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结

    一. 前言 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸 ...

  6. mosquitto ---SSL/TLS 单向认证+双向认证

    生成证书 # * Redistributions in binary form must reproduce the above copyright #   notice, this list of ...

  7. 基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证

    基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证 摘自:https://blog.csdn.net/ty1121466568/article/details/811184 ...

  8. MQTT TLS 加密传输

    MQTT TLS 加密传输 Mosquitto原生支持了TLS加密,TLS(传输层安全)是SSL(安全套接层)的新名称,生成证书后再配置一下MQTT代理,本文主要介绍Mqtt如何实现双向认证和单向认证 ...

  9. Linux的加密认证功能以及openssl详解

    一.详细介绍加密.解密技术 现在的加密/解密技术主要有三种:对称加密,非对称加密,和单向加密 这三种加密解密技术的组合就是现在电子商务的基础,它们三个有各自最适合的领域,而且所要完成的功能也是不同的, ...

  10. SSL/TLS 加密新纪元 - Let's Encrypt

    转自: https://linux.cn/article-6565-1.html SSL/TLS 加密新纪元 - Let's Encrypt 根据 Let's Encrypt 官方博客消息,Let's ...

随机推荐

  1. PHP获取网页返回的JSON数据并在微信换行展示

    1 $url ="http://japi.juhe.cn/joke/content/text.from?page=&pagesize=&key=c968d04ab0ea15e ...

  2. 2020-12-15:mysql的回滚机制是怎么实现的?

    福哥答案2020-12-15:[答案来自此链接:](https://www.cnblogs.com/ld-swust/p/5607983.html)在 MySQL 中,恢复机制是通过回滚日志(undo ...

  3. 2021-09-27:Pow(x, n)。实现 pow(x, n) ,即计算 x 的 n 次幂函数(即,x**n)。力扣50。

    2021-09-27:Pow(x, n).实现 pow(x, n) ,即计算 x 的 n 次幂函数(即,x**n).力扣50. 福大大 答案2021-09-27: 遍历n的二进制位. 时间复杂度:O( ...

  4. React笔记-生命周期(七)

    React笔记-生命周期(七) 生命周期值React组件从装载到卸载的全过程 在这个过程中React提供了多个内置函数供开发者在不同阶段执行需要的逻辑 状态组件由3个阶段组成 挂载阶段(MOUNTIN ...

  5. 如何进行测试分析与设计-HTSM启发式测试策略模型 | 京东云技术团队

    测试,没有分析与设计就失去了灵魂: 测试人员在编写用例之前,该如何进行测试分析与设计呢?上次在<测试的底层逻辑>中讲到了[输入输出测试模型],还讲到了[2W+1H测试分析法],但2W1H分 ...

  6. react-router-dom 6.0路由详解

    React react-router-dom 6.0路由使用 由于react路由版本的更新迭代,记录路由知识点 新react-router-dom地址,点击查看详情. 下面为使用的例子 Install ...

  7. Metabase可视化BI系统部署安装及简单使用

    Metabase 是国外开源的一个可视化系统,语言使用了Clojure + TypeScript. Clojure(/ˈkloʊʒər/)是Lisp程式語言在Java平台上的現代.動態及函數式方言.来 ...

  8. 「学习笔记」模运算与 BSGS 算法

    取模 取模符号:\(x \bmod y\),表示 \(x\) 除以 \(y\) 得到的余数. 例如, \[5 \bmod 3 = 2\\ 7 \bmod 4 = 3\\ 3 \bmod 3 = 0\\ ...

  9. node版本问题:Error: error:0308010C:digital envelope routines::unsupported

    前言 出现这个错误是因为 node.js V17及以后版本中最近发布的OpenSSL3.0, 而OpenSSL3.0对允许算法和密钥大小增加了严格的限制,可能会对生态系统造成一些影响. 在node.j ...

  10. 【C#/.NET】record介绍

    ​  目录 什么是record? 使用record record解构 record原理 结论 什么是record? record是.NET 5中的一种新特性,可以看作是一种概念上不可变的类.recor ...