本文详细介绍了如何在gRPC中实现TLS单向认证、双向认证以及Token认证,涉及证书的生成、配置及代码实现。重点讲解了证书配置文件的创建、服务端和客户端代码的修改,以及拦截器的使用,确保数据传输的安全性。
gRPC教程 — TLS单向认证、双向认证、Token认证、拦截器
本文代码
码云:https://gitee.com/XiMuQi/go-grpc
问题重现
golang 1.15+版本上,用 gRPC通过TLS实现数据传输加密时,会报错证书的问题:
rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: x509: certificate is not valid for any names, but wanted to match www.ximu.info"
是因为用的TLS证书,并没有开启SAN扩展(默认是没有开启SAN扩展)所生成的,导致客户端和服务端无法建立连接。
什么是 SAN?
SAN(Subject Alternative Name)是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。
解决办法
一、生成CA根证书
后面需要使用根证书CA来生成服务端、客户端证书
1.1 在证书存放文件夹下 新建 ca.conf,写入内容如下:
#req 总的配置
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name #使用 req_distinguished_name配置模块
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName = Locality Name (eg, city)
localityName_default = BeiJing
organizationName = Organization Name (eg, company)
organizationName_default = XiMu
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = ximu
1.2 生成ca秘钥,得到ca.key
openssl genrsa -out ca.key 4096
1.3 生成ca证书签发请求,得到ca.csr
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf
1.4 生成ca根证书,得到ca.crt
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
二、 生成服务端证书
2.1 在证书存放文件夹下,新建server.conf,写入内容如下:
#req 总配置
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name #使用 req_distinguished_name配置模块
req_extensions = req_ext #使用 req_ext配置模块
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName = Locality Name (eg, city)
localityName_default = BeiJing
organizationName = Organization Name (eg, company)
organizationName_default = XiMu
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
commonName_default = ximu #这里的Common Name 写主要域名即可(注意:这个域名也要在alt_names的DNS.x里) 此处尤为重要,需要用该服务名字填写到客户端的代码中
[ req_ext ]
subjectAltName = @alt_names #使用 alt_names配置模块
[alt_names]
DNS.1 = localhost
DNS.2 = ximu.info
DNS.3 = www.ximu.info
IP = 127.0.0.1
2.2 生成秘钥,得到server.key
openssl genrsa -out server.key 2048
2.3 生成证书签发请求,得到server.csr
openssl req -new -sha256 -out server.csr -key server.key -config server.conf
2.4 用CA证书生成服务端证书,得到server.pem
openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf
现在证书已经生成完毕, server.pem 和 server.key就是我们需要的证书和密钥。
key: 服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密。
csr: 证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名。
crt: 由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息。
pem: 是基于Base64编码的证书格式,扩展名包括PEM、CRT和CER。
ca.conf和server.conf对比
可以发现ca.conf和server.conf的配置大致相同,这是因为ca.conf生成的是根证书,用户证书需要在根证书的基础上创建,所以高度相同,对于两个证书的配置信息不必过于深究,够使用即可。
三、证书的使用(单向认证)
3.1 服务端
package main
import (
"context"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"google.golang.org/grpc/grpclog"
"grpc01/service"
"log"
"net"
)
//1、声明一个server,里面是未实现的字段
type server struct {
service.UnimplementedQueryUserServer
}
//2、必须要实现在hello.proto里声明的远程调用接口,否则客户端会报:
//rpc error: code = Unimplemented desc = method GetUserInfo not implemente
func (s *server) GetUserInfo(ctx context.Context, in *service.ReqParam) (*service.ResParam, error) {
return &service.ResParam{
Id: in.Id, Name: in.Name, Age: 20, Address: "Beijing"}, nil
}
func main() {
//配置 TLS认证相关文件
creds, err := credentials.NewServerTLSFromFile("keys/server.pem", "keys/server.key")
if err != nil {
grpclog.Fatalf("Failed to generate credentials %v", err)
}
//1、创建服务,并开启TLS认证
//ser := grpc.NewServer()
ser := grpc.NewServer(grpc.Creds(creds))
//2、注册服务
service.RegisterQueryUserServer
扫一扫
5818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
