前言

假设gRPC服务端的主机名为qw.er.com,需要为gRPC服务端和客户端之间的通信配置tls双向认证加密。

生成证书

  1. 生成ca根证书。生成过程会要求填写密码、CN、ON、OU等信息,记住密码。
openssl req -x509 -newkey rsa:4096 -keyout ca.key -out ca.crt -subj "/CN=qw.er.com" -days 365
  1. 新建并编辑文件openssl.cnf文件。req_distinguished_name中内容按需填写,DNS.1要替换成实际域名。
[req]

req_extensions = v3_req

distinguished_name = req_distinguished_name

prompt = no

[req_distinguished_name]

countryName = CN

stateOrProvinceName = Anhui

localityName = Hefei

organizationName = zhangsan

commonName = qw.er.com

[v3_req]

subjectAltName = @alt_names

[alt_names]

DNS.1 = qw.er.com
  1. 生成服务端证书
openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf
  1. 生成客户端证书
openssl req -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj "/CN=qw.er.com" -config openssl.cnf

# 提示输入ca私钥的密码

openssl x509 -req -in client.csr -out client.crt -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 -extensions v3_req -extfile openssl.cnf

proto示例

用的还是入门级的helloworld

syntax = "proto3";   // protocol buffers版本

option go_package = "./;proto";   // 生成的Go代码将被放在当前目录,并使用proto作为包名称

// 定义grpc服务的接口。服务就是一组可被远程调用的方法

service Greeter {

	// 定义远程调用方法

    rpc SayHello (HelloRequest) returns (HelloReply);

}

// 定义消息格式和消息类型

message HelloRequest {

    string name = 1; // 1 是二进制格式中的字段编号, 应该唯一

}

message HelloReply {

    string message = 1;

}

生成go代码:

protoc --go_out=. --go_opt=paths=source_relative --go-grpc_out=. --go-grpc_opt=paths=source_relative hello.proto

服务端代码示例

如果需要客户端和服务端直接通信,可以参考以下示例代码。

package main

import (

	pb "grpcs/proto"

	"context"

	"crypto/tls"

	"crypto/x509"

	"flag"

	"fmt"

	"log"

	"net"

	"os"

	"google.golang.org/grpc"

	"google.golang.org/grpc/credentials"

)

var (

	port    = flag.Int("port", 8010, "the server port")

	crtFile = flag.String("crt", "server.crt", "the server crt file")

	keyFile = flag.String("key", "server.key", "the server key file")

	caFile  = flag.String("ca", "ca.crt", "the server ca file")

)

type server struct{

	pb.UnimplementedGreeterServer

}

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {

	log.Printf("Received: %v", in.GetName())

	return &pb.HelloReply{Message: "Hello " + in.GetName()}, nil

}

func main() {

	flag.Parse()

	// 通过服务端的证书和密钥直接创建X.509密钥对

	certificate, err := tls.LoadX509KeyPair(*crtFile, *keyFile)

	if err != nil {

		log.Fatalf("Failed to load key pair: %v", err)

	}

	// 通过CA创建证书池

	certPool := x509.NewCertPool()

	ca, err := os.ReadFile(*caFile)

	if err != nil {

		log.Fatalf("Failed to read ca: %v", err)

	}

	// 将来自CA的客户端证书附加到证书池

	if ok := certPool.AppendCertsFromPEM(ca); !ok {

		log.Fatalf("Failed to append ca certificate")

	}

	opts := []grpc.ServerOption{

		grpc.Creds( // 为所有传入的连接启用TLS

			credentials.NewTLS(&tls.Config{

				ClientAuth: tls.RequireAndVerifyClientCert,

				Certificates: []tls.Certificate{certificate},

				ClientCAs: certPool,

			},

		)),

	}

	listen, err := net.Listen("tcp", fmt.Sprintf("0.0.0.0:%d", *port))

	if err != nil {

		log.Fatalf("failed to listen %d port", *port)

	}

	// 通过传入的TLS服务器凭证创建新的gRPC服务实例

	s := grpc.NewServer(opts...)

	pb.RegisterGreeterServer(s, &server{})

	log.Printf("server listening at %v", listen.Addr())

	if err := s.Serve(listen); err != nil {

		log.Fatalf("Failed to serve: %v", err)

	}

}

运行:

go build -o server.bin

./server.bin -ca ca.crt -crt server.crt -key server.key -port 8010

客户端代码示例

package main

import (

	pb "grpcc/proto"

	"context"

	"crypto/tls"

	"crypto/x509"

	"flag"

	"log"

	"os"

	"time"

	"google.golang.org/grpc"

	"google.golang.org/grpc/credentials"

)

var (

	addr     = flag.String("addr", "qw.er.com:8010", "server address")

	hostname = flag.String("host", "qw.er.com", "server hostname")

	crtFile  = flag.String("crt", "client.crt", "client crt file")

	keyFile  = flag.String("key", "client.key", "client key file")

	caFile   = flag.String("ca", "ca.crt", "ca file")

	name = flag.String("n", "zhangsan", "name")

)

func main() {

	flag.Parse()

	certificate, err := tls.LoadX509KeyPair(*crtFile, *keyFile)

	if err != nil {

		log.Fatalf("Failed to load client key pair, %v", err)

	}

	certPool := x509.NewCertPool()

	ca, err := os.ReadFile(*caFile)

	if err != nil {

		log.Fatalf("Failed to read %s, error: %v", *caFile, err)

	}

	if ok := certPool.AppendCertsFromPEM(ca); !ok {

		log.Fatalf("Failed to append ca certs")

	}

	opts := []grpc.DialOption{

		grpc.WithTransportCredentials(credentials.NewTLS(

			&tls.Config{

				ServerName:   *hostname,

				Certificates: []tls.Certificate{certificate},

				RootCAs:      certPool,

			})),

	}

	// conn, err := grpc.Dial(*addr, grpc.WithTransportCredentials(insecure.NewCredentials()))

	conn, err := grpc.Dial(*addr, opts...)

	if err != nil {

		log.Fatalf("Connect to %s failed", *addr)

	}

	defer conn.Close()

	client := pb.NewGreeterClient(conn)

	// 创建带有超时时间的上下文, cancel可以取消上下文

	ctx, cancel := context.WithTimeout(context.Background(), time.Second*3)

	defer cancel()

	// 业务代码处理部分 ...

	r, err := client.SayHello(ctx, &pb.HelloRequest{Name: *name})

	if err != nil {

		log.Printf("Failed to greet, error: %v", err)

	} else {

		log.Printf("Greeting: %v",r.GetMessage())

	}

}

运行:

go build -o client.bin

./client.bin -addr qw.er.com:8010 -host qw.er.com -ca ca.crt -crt client.crt -key client.key -name 'lisi'

nginx代理

某些场景下服务端和客户端无法直接通信,需要在中间加个nginx反向代理服务端。目前个人方案是客户端与nginx之间为https双向加密通信,nginx与服务端之间为http普通通信。

客户端代码无需改动,服务端就是去掉tls相关配置,示例:

package main

import (

	"context"

	"flag"

	"fmt"

	"log"

	"net"

	pb "grpcs/proto"

	"google.golang.org/grpc"

)

var (

	port = flag.Int("port", 8010, "The server port")

)

// server is used to implement hello.GreeterServer.

type server struct {

	pb.UnimplementedGreeterServer

}

// SayHello 实现 proto 中的 service Greeter

func (s *server) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloReply, error) {

	log.Printf("Received: %v", in.GetName())

	return &pb.HelloReply{Message: "Hello " + in.GetName()}, nil

}

func main() {

	flag.Parse()

	lis, err := net.Listen("tcp", fmt.Sprintf(":%d", *port))

	if err != nil {

		log.Fatalf("failed to listen: %v", err)

	}

	s := grpc.NewServer()

	pb.RegisterGreeterServer(s, &server{})

	log.Printf("server listening at %v", lis.Addr())

	if err := s.Serve(lis); err != nil {

		log.Fatalf("failed to serve: %v", err)

	}

}

tls证书配到nginx:

server {

    listen       80 ssl http2;

    server_name  qw.er.com;

	# 证书文件路径

    ssl_certificate /home/admin/apps/openresty/nginx/certs/qwer/server.crt;

    ssl_certificate_key /home/admin/apps/openresty/nginx/certs/qwer/server.key;

    # 验证客户端证书

    ssl_verify_client on;

    ssl_client_certificate /home/admin/apps/openresty/nginx/certs/qwer/ca.crt;

	# 反向代理服务端

    location / {

        grpc_pass grpc://192.168.1.111:8010;

    }

}

[grpc]双向tls加密认证的更多相关文章

  1. elk 系列:Elasticsearch 7.2 集群部署+TLS 加密+认证登陆

    背景 2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供. 这意味着用户现在能够对网络流量进行加密.创建和管理用户. ...

  2. Go gRPC进阶-TLS认证+自定义方法认证(七)

    前言 前面篇章的gRPC都是明文传输的,容易被篡改数据.本章将介绍如何为gRPC添加安全机制,包括TLS证书认证和Token认证. TLS证书认证 什么是TLS TLS(Transport Layer ...

  3. idou老师教你学Istio 17 : 通过HTTPS进行双向TLS传输

    众所周知,HTTPS是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输 ...

  4. 《LDAP服务器和客户端的加密认证》RHEL6——第二篇 运维工程师必考

    服务端的配置: (基于原先配好的ldap服务器)打开加密认证: Iptables –F  setenforce 0 1.编辑ldap的配置文件:slapd.conf 2.启动ldap服务器: 3.切换 ...

  5. Docker实战 | 第四篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结

    一. 前言 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸 ...

  6. mosquitto ---SSL/TLS 单向认证+双向认证

    生成证书 # * Redistributions in binary form must reproduce the above copyright #   notice, this list of ...

  7. 基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证

    基于mosquitto的MQTT服务器---SSL/TLS 单向认证+双向认证 摘自:https://blog.csdn.net/ty1121466568/article/details/811184 ...

  8. MQTT TLS 加密传输

    MQTT TLS 加密传输 Mosquitto原生支持了TLS加密,TLS(传输层安全)是SSL(安全套接层)的新名称,生成证书后再配置一下MQTT代理,本文主要介绍Mqtt如何实现双向认证和单向认证 ...

  9. Linux的加密认证功能以及openssl详解

    一.详细介绍加密.解密技术 现在的加密/解密技术主要有三种:对称加密,非对称加密,和单向加密 这三种加密解密技术的组合就是现在电子商务的基础,它们三个有各自最适合的领域,而且所要完成的功能也是不同的, ...

  10. SSL/TLS 加密新纪元 - Let's Encrypt

    转自: https://linux.cn/article-6565-1.html SSL/TLS 加密新纪元 - Let's Encrypt 根据 Let's Encrypt 官方博客消息,Let's ...

随机推荐

  1. 民谣女神唱流行,基于AI人工智能so-vits库训练自己的音色模型(叶蓓/Python3.10)

    流行天后孙燕姿的音色固然是极好的,但是目前全网都是她的声音复刻,听多了难免会有些审美疲劳,在网络上检索了一圈,还没有发现民谣歌手的音色模型,人就是这样,得不到的永远在骚动,本次我们自己构建训练集,来打 ...

  2. 文心一言 VS chatgpt (1)-- 算法导论1.1

    1.给出现实生活中需要排序的一个例子或者现实生活中需要计算凸壳的一个例子. 文心一言: 现实生活中需要排序的一个例子: 在一个商店里,顾客需要购买一些商品.他们需要按照价格从低到高排序,以便更容易地找 ...

  3. 2023-03-14:读取摄像头,并且显示视频。代码用go语言编写。

    2023-03-14:读取摄像头,并且显示视频.代码用go语言编写. 答案2023-03-14: 大体流程如下: 导入所需的库和包. 初始化 ffmpeg 和 SDL2 库. 打开摄像头并创建 AVF ...

  4. 2020-12-18:java和go,并发控制有哪几种方式?

    福哥答案2020-12-18: java:锁(Synchronized, ReentrantLock).信号量(Semaphore)以及其他同步工具.原子类(atomicInteger).加法器(ad ...

  5. 2021-04-07:给定一个非负数组arr,长度为N,那么有N-1种方案可以把arr切成左右两部分,每一种方案都有,min{左部分累加和,右部分累加和},求这么多方案中,min{左部分累加和,右部分累加和}的最大值是多少? 整个过程要求时间复杂度O(N)。

    2021-04-07:给定一个非负数组arr,长度为N,那么有N-1种方案可以把arr切成左右两部分,每一种方案都有,min{左部分累加和,右部分累加和},求这么多方案中,min{左部分累加和,右部分 ...

  6. UnorderedObjectListWarning: Pagination may yield inconsistent results with an unordered object_list

    错误: UnorderedObjectListWarning: Pagination may yield inconsistent results with an unordered object_l ...

  7. pupstudy的使用

    打开环境 点击管理--打开根目录 把靶场放在www文件夹里 网页打开127.0.0.1/靶场文件名即可

  8. Python批量填补遥感影像的无效值NoData

      本文介绍基于Python中ArcPy模块,对大量栅格遥感影像文件批量进行无效值(NoData值)填充的方法.   在处理栅格图像文件时,我们经常会遇到图像中存在有无效值(即NoData值)的情况. ...

  9. 快速上手kettle(三)壶中可以放些啥?

    目录 序言 一 .kettle这壶能装些啥 二.Access输入 2.1 准备Acess数据库和表 2.2 新建一个转换并设置 2.3 启动转换预览数据 三.CSV文件输入 3.1 准备csv文件,并 ...

  10. 云原生时代Go最受欢迎Web开源框架Gin原理与实战

    @ 目录 概述 定义 特点 概览导图 使用 快速入门 HTTP 方法使用 参数获取 参数绑定 自定义日志输出 自定义中间件 路由组 HTML渲染 设置和获取Cookie XML.YAML.ProtoB ...