前言

假设gRPC服务端的主机名为qw.er.com,需要为gRPC服务端和客户端之间的通信配置tls双向认证加密。

生成证书

  1. 生成ca根证书。生成过程会要求填写密码、CN、ON、OU等信息,记住密码。
openssl req -x509 -newkey rsa:4096 -keyout ca.key -out ca.crt -subj "/CN=qw.er.com" -days 365
  1. 新建并编辑文件openssl.cnf文件。req_distinguished_name中内容按需填写,DNS.1要替换成实际域名。
[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

prompt = no

[req_distinguished_name]

countryName = CN

stateOrProvinceName = Anhui

localityName = Hefei

organizationName = zhangsan

commonName = qw.er.com

[v3_req]

subjectAltName = @alt_names

[alt_names]

DNS.1 = qw.er.com
  1. 生成服务端证书
openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf
  1. 生成客户端证书
openssl req -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in client.csr -out client.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf

proto示例

用的还是入门级的helloworld

syntax = "proto3";   // protocol buffers版本

option go_package = "./;proto";   // 生成的Go代码将被放在当前目录,并使用proto作为包名称

// 定义grpc服务的接口。服务就是一组可被远程调用的方法

service Greeter {

	// 定义远程调用方法

    rpc SayHello (HelloRequest) returns (HelloReply);

}

// 定义消息格式和消息类型

message HelloRequest {

    string name = 1; // 1 是二进制格式中的字段编号, 应该唯一

}

message HelloReply {

    string message = 1;

}

生成go代码:

protoc --go_out=. --go_opt=paths=source_relative --go-grpc_out=. --go-grpc_opt=paths=source_relative hello.proto

服务端代码示例

如果需要客户端和服务端直接通信,可以参考以下示例代码。

package main

import (

	pb "grpcs/proto"

	"context"

	"crypto/tls"

	"crypto/x509"

	"flag"

	"fmt"

	"log"

	"net"

	"os"

	"google.golang.org/grpc"

	"google.golang.org/grpc/credentials"

)

var (

	port    = flag.Int("port", 8010, "the server port")

	crtFile = flag.String("crt", "server.crt", "the server crt file")

	keyFile = flag.String("key", "server.key", "the server key file")

	caFile  = flag.String("ca", "ca.crt", "the server ca file")

)

type server struct{

	pb.UnimplementedGreeterServer

}

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {

	log.Printf("Received: %v", in.GetName())

	return &pb.HelloReply{Message: "Hello " + in.GetName()}, nil

}

func main() {

	flag.Parse()

	// 通过服务端的证书和密钥直接创建X.509密钥对

	certificate, err := tls.LoadX509KeyPair(*crtFile, *keyFile)

	if err != nil {

		log.Fatalf("Failed to load key pair: %v", err)

	}

	// 通过CA创建证书池

	certPool := x509.NewCertPool()

	ca, err := os.ReadFile(*caFile)

	if err != nil {

		log.Fatalf("Failed to read ca: %v", err)

	}

	// 将来自CA的客户端证书附加到证书池

	if ok := certPool.AppendCertsFromPEM(ca); !ok {

		log.Fatalf("Failed to append ca certificate")

	}

	opts := []grpc.ServerOption{

		grpc.Creds( // 为所有传入的连接启用TLS

			credentials.NewTLS(&tls.Config{

				ClientAuth: tls.RequireAndVerifyClientCert,

				Certificates: []tls.Certificate{certificate},

				ClientCAs: certPool,

			},

		)),

	}

	listen, err := net.Listen("tcp", fmt.Sprintf("0.0.0.0:%d", *port))

	if err != nil {

		log.Fatalf("failed to listen %d port", *port)

	}

	// 通过传入的TLS服务器凭证创建新的gRPC服务实例

	s := grpc.NewServer(opts...)

	pb.RegisterGreeterServer(s, &server{})

	log.Printf("server listening at %v", listen.Addr())

	if err := s.Serve(listen); err != nil {

		log.Fatalf("Failed to serve: %v", err)

	}

}

运行:

go build -o server.bin

./server.bin -ca ca.crt -crt server.crt -key server.key -port 8010

客户端代码示例

package main

import (

	pb "grpcc/proto"

	"context"

	"crypto/tls"

	"crypto/x509"

	"flag"

	"log"

	"os"

	"time"

	"google.golang.org/grpc"

	"google.golang.org/grpc/credentials"

)

var (

	addr     = flag.String("addr", "qw.er.com:8010", "server address")

	hostname = flag.String("host", "qw.er.com", "server hostname")

	crtFile  = flag.String("crt", "client.crt", "client crt file")

	keyFile  = flag.String("key", "client.key", "client key file")

	caFile   = flag.String("ca", "ca.crt", "ca file")

	name = flag.String("n", "zhangsan", "name")

)

func main() {

	flag.Parse()

	certificate, err := tls.LoadX509KeyPair(*crtFile, *keyFile)

	if err != nil {

		log.Fatalf("Failed to load client key pair, %v", err)

	}

	certPool := x509.NewCertPool()

	ca, err := os.ReadFile(*caFile)

	if err != nil {

		log.Fatalf("Failed to read %s, error: %v", *caFile, err)

	}

	if ok := certPool.AppendCertsFromPEM(ca); !ok {

		log.Fatalf("Failed to append ca certs")

	}

	opts := []grpc.DialOption{

		grpc.WithTransportCredentials(credentials.NewTLS(

			&tls.Config{

				ServerName:   *hostname,

				Certificates: []tls.Certificate{certificate},

				RootCAs:      certPool,

			})),

	}

	// conn, err := grpc.Dial(*addr, grpc.WithTransportCredentials(insecure.NewCredentials()))

	conn, err := grpc.Dial(*addr, opts...)

	if err != nil {

		log.Fatalf("Connect to %s failed", *addr)

	}

	defer conn.Close()

	client := pb.NewGreeterClient(conn)

	// 创建带有超时时间的上下文, cancel可以取消上下文

	ctx, cancel := context.WithTimeout(context.Background(), time.Second*3)

	defer cancel()

	// 业务代码处理部分 ...

	r, err := client.SayHello(ctx, &pb.HelloRequest{Name: *name})

	if err != nil {

		log.Printf("Failed to greet, error: %v", err)

	} else {

		log.Printf("Greeting: %v",r.GetMessage())

	}

}

运行:

go build -o client.bin

./client.bin -addr qw.er.com:8010 -host qw.er.com -ca ca.crt -crt client.crt -key client.key -name 'lisi'

nginx代理

某些场景下服务端和客户端无法直接通信,需要在中间加个nginx反向代理服务端。目前个人方案是客户端与nginx之间为https双向加密通信,nginx与服务端之间为http普通通信。

客户端代码无需改动,服务端就是去掉tls相关配置,示例:

package main

import (

	"context"

	"flag"

	"fmt"

	"log"

	"net"

	pb "grpcs/proto"

	"google.golang.org/grpc"

)

var (

	port = flag.Int("port", 8010, "The server port")

)

// server is used to implement hello.GreeterServer.

type server struct {

	pb.UnimplementedGreeterServer

}

// SayHello 实现 proto 中的 service Greeter

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {

	log.Printf("Received: %v", in.GetName())

	return &pb.HelloReply{Message: "Hello " + in.GetName()}, nil

}

func main() {

	flag.Parse()

	lis, err := net.Listen("tcp", fmt.Sprintf(":%d", *port))

	if err != nil {

		log.Fatalf("failed to listen: %v", err)

	}

	s := grpc.NewServer()

	pb.RegisterGreeterServer(s, &server{})

	log.Printf("server listening at %v", lis.Addr())

	if err := s.Serve(lis); err != nil {

		log.Fatalf("failed to serve: %v", err)

	}

}

tls证书配到nginx:

server {

    listen       80 ssl http2;

    server_name  qw.er.com;

	# 证书文件路径

    ssl_certificate /home/admin/apps/openresty/nginx/certs/qwer/server.crt;

    ssl_certificate_key /home/admin/apps/openresty/nginx/certs/qwer/server.key;

    # 验证客户端证书

    ssl_verify_client on;

    ssl_client_certificate /home/admin/apps/openresty/nginx/certs/qwer/ca.crt;

	# 反向代理服务端

    location / {

        grpc_pass grpc://192.168.1.111:8010;

    }

}

[grpc]双向tls加密认证的更多相关文章

  1. elk 系列:Elasticsearch 7.2 集群部署+TLS 加密+认证登陆

    背景 2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供. 这意味着用户现在能够对网络流量进行加密.创建和管理用户. ...

  2. Go gRPC进阶-TLS认证+自定义方法认证(七)

    前言 前面篇章的gRPC都是明文传输的,容易被篡改数据.本章将介绍如何为gRPC添加安全机制,包括TLS证书认证和Token认证. TLS证书认证 什么是TLS TLS(Transport Layer ...

  3. idou老师教你学Istio 17 : 通过HTTPS进行双向TLS传输

    众所周知,HTTPS是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输 ...

  4. 《LDAP服务器和客户端的加密认证》RHEL6——第二篇 运维工程师必考

    服务端的配置: (基于原先配好的ldap服务器)打开加密认证: Iptables –F  setenforce 0 1.编辑ldap的配置文件:slapd.conf 2.启动ldap服务器: 3.切换 ...

  5. Docker实战 | 第四篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结

    一. 前言 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸 ...

  6. mosquitto ---SSL/TLS 单向认证+双向认证

    生成证书 # * Redistributions in binary form must reproduce the above copyright #   notice, this list of ...

  7. 基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证

    基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证 摘自:https://blog.csdn.net/ty1121466568/article/details/811184 ...

  8. MQTT TLS 加密传输

    MQTT TLS 加密传输 Mosquitto原生支持了TLS加密,TLS(传输层安全)是SSL(安全套接层)的新名称,生成证书后再配置一下MQTT代理,本文主要介绍Mqtt如何实现双向认证和单向认证 ...

  9. Linux的加密认证功能以及openssl详解

    一.详细介绍加密.解密技术 现在的加密/解密技术主要有三种:对称加密,非对称加密,和单向加密 这三种加密解密技术的组合就是现在电子商务的基础,它们三个有各自最适合的领域,而且所要完成的功能也是不同的, ...

  10. SSL/TLS 加密新纪元 - Let's Encrypt

    转自: https://linux.cn/article-6565-1.html SSL/TLS 加密新纪元 - Let's Encrypt 根据 Let's Encrypt 官方博客消息,Let's ...

随机推荐

  1. 使用 shell 脚本自动申请进京证 (六环外) —— debug 过程

    问题现象 用 shell 脚本写了一个自动办理六环外进京证的工具 <使用 shell 脚本自动申请进京证 (六环外)>,然而运行这个脚本总是返回以下错误信息: { "msg&qu ...

  2. 音视频八股文(5)--SDL音视频渲染实战。会使用就行,不需要深究。

    01-SDL子系统 SDL将功能分成下列数个子系统(subsystem): SDL_INIT_TIMER:定时器 SDL_INIT_AUDIO:音频 SDL_INIT_VIDEO:视频 SDL_INI ...

  3. 2023-03-18:给定一个长度n的数组,每次可以选择一个数x, 让这个数组中所有的x都变成x+1,问你最少的操作次数, 使得这个数组变成一个非降数组。 n <= 3 * 10^5, 0 <= 数值

    2023-03-18:给定一个长度n的数组,每次可以选择一个数x, 让这个数组中所有的x都变成x+1,问你最少的操作次数, 使得这个数组变成一个非降数组. n <= 3 * 10^5, 0 &l ...

  4. 2020-11-18:java中,到底多大的对象会被直接扔到老年代?

    福哥答案2020-11-18: HotSpot 虚拟机提供了-XX:PretenureSizeThreshold 参数,指定大于该设置值的对象直接在老年代分配,这样做的目的就是避免在 Eden 区及两 ...

  5. 2022-03-27:class AreaResource { String area; // area表示的是地区全路径,最多可能有6级,比如: 中国,四川,成都 或者 中国,浙江,杭州 Str

    2022-03-27:class AreaResource { String area; // area表示的是地区全路径,最多可能有6级,比如: 中国,四川,成都 或者 中国,浙江,杭州 Strin ...

  6. mac系统下,docker安装kibana报错,manifest for kibana:latest not found: manifest unknown: manifest unknown

    1.问题描述:mac系统下,docker安装kibana报错,manifest for kibana:latest not found: manifest unknown: manifest unkn ...

  7. docker安装kibana,报错Kibana server is not ready yet,未解决

    1.命令 docker run -d -e ELASTICSEARCH_URL=http://192.168.101.158:9200 -p 5601:5601 --name kibana kiban ...

  8. 新出的Alist云盘视频助手,真的香还是假的香?

    作为某云盘的重度使用者和长期受虐者,前段时间无意中看到一款新出的网盘工具,叫Alist云盘视频助手,不同于一般的网盘工具,它不是面向网盘数据下载的,它面向的是网盘视频文件隐私保护,大白话就是:加密网盘 ...

  9. npm安装报错

    npm ERR! request to https://registry.cnpmjs.org/element-ui failed, reason: Hostname/IP does not matc ...

  10. 手动封装XMLHttpRequest

    自己动手封装一个XMLHttpRequest, 兼容低版本浏览器,自动检测post与get 类型请求,自动参数拼接,参数类型辨别 <!DOCTYPE html> <html> ...