帶入gRPC:基於 CA 的 TLS 證書認證
原文地址:帶入gRPC:基於 CA 的 TLS 證書認證
項目地址:https://github.com/EDDYCJY/go...html
前言
在上一章節中,咱們提出了一個問題。就是如何保證證書的可靠性和有效性?你如何肯定你 Server、Client 的證書是對的呢?git
CA
爲了保證證書的可靠性和有效性,在這裏可引入 CA 頒發的根證書的概念。其遵照 X.509 標準github
根證書
根證書(root certificate)是屬於根證書頒發機構(CA)的公鑰證書。咱們能夠經過驗證 CA 的簽名從而信任 CA ,任何人均可以獲得 CA 的證書(含公鑰),用以驗證它所簽發的證書(客戶端、服務端)golang
它包含的文件以下:segmentfault
- 公鑰
- 密鑰
生成 Key
openssl genrsa -out ca.key 2048
生成密鑰
openssl req -new -x509 -days 7200 -key ca.key -out ca.pem
填寫信息
Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:go-grpc-example Email Address []:
Server
生成 CSR
openssl req -new -key server.key -out server.csr
填寫信息
Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:go-grpc-example Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:
CSR 是 Cerificate Signing Request 的英文縮寫,爲證書請求文件。主要做用是 CA 會利用 CSR 文件進行簽名使得攻擊者沒法假裝或篡改原有證書安全
基於 CA 簽發
openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in server.csr -out server.pem
Client
生成 Key
openssl ecparam -genkey -name secp384r1 -out client.key
生成 CSR
openssl req -new -key client.key -out client.csr
基於 CA 簽發
openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in client.csr -out client.pem
整理目錄
至此咱們生成了一堆文件,請按照如下目錄結構存放:服務器
$ tree conf
conf
├── ca.key
├── ca.pem
├── ca.srl
├── client
│ ├── client.csr
│ ├── client.key
│ └── client.pem
└── server
├── server.csr
├── server.key
└── server.pem
另外有一些文件是不該該出如今倉庫內,應當保密或刪除的。但爲了真實演示因此保留着(敲黑板)tcp
gRPC
接下來將正式開始針對 gRPC 進行編碼,改造上一章節的代碼。目標是基於 CA 進行 TLS 認證 🤫分佈式
Server
package main
import (
"context"
"log"
"net"
"crypto/tls"
"crypto/x509"
"io/ioutil"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
pb "github.com/EDDYCJY/go-grpc-example/proto"
)
...
const PORT = "9001"
func main() {
cert, err := tls.LoadX509KeyPair("../../conf/server/server.pem", "../../conf/server/server.key")
if err != nil {
log.Fatalf("tls.LoadX509KeyPair err: %v", err)
}
certPool := x509.NewCertPool()
ca, err := ioutil.ReadFile("../../conf/ca.pem")
if err != nil {
log.Fatalf("ioutil.ReadFile err: %v", err)
}
if ok := certPool.AppendCertsFromPEM(ca); !ok {
log.Fatalf("certPool.AppendCertsFromPEM err")
}
c := credentials.NewTLS(&tls.Config{
Certificates: []tls.Certificate{cert},
ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: certPool,
})
server := grpc.NewServer(grpc.Creds(c))
pb.RegisterSearchServiceServer(server, &SearchService{})
lis, err := net.Listen("tcp", ":"+PORT)
if err != nil {
log.Fatalf("net.Listen err: %v", err)
}
server.Serve(lis)
}
- tls.LoadX509KeyPair():從證書相關文件中讀取和解析信息,獲得證書公鑰、密鑰對
func LoadX509KeyPair(certFile, keyFile string) (Certificate, error) {
certPEMBlock, err := ioutil.ReadFile(certFile)
if err != nil {
return Certificate{}, err
}
keyPEMBlock, err := ioutil.ReadFile(keyFile)
if err != nil {
return Certificate{}, err
}
return X509KeyPair(certPEMBlock, keyPEMBlock)
}
- x509.NewCertPool():建立一個新的、空的 CertPool
- certPool.AppendCertsFromPEM():嘗試解析所傳入的 PEM 編碼的證書。若是解析成功會將其加到 CertPool 中,便於後面的使用
- credentials.NewTLS:構建基於 TLS 的 TransportCredentials 選項
- tls.Config:Config 結構用於配置 TLS 客戶端或服務器
在 Server,共使用了三個 Config 配置項:ui
(1)Certificates:設置證書鏈,容許包含一個或多個
(2)ClientAuth:要求必須校驗客戶端的證書。能夠根據實際狀況選用如下參數:
const (
NoClientCert ClientAuthType = iota
RequestClientCert
RequireAnyClientCert
VerifyClientCertIfGiven
RequireAndVerifyClientCert
)
(3)ClientCAs:設置根證書的集合,校驗方式使用 ClientAuth 中設定的模式
Client
package main
import (
"context"
"crypto/tls"
"crypto/x509"
"io/ioutil"
"log"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
pb "github.com/EDDYCJY/go-grpc-example/proto"
)
const PORT = "9001"
func main() {
cert, err := tls.LoadX509KeyPair("../../conf/client/client.pem", "../../conf/client/client.key")
if err != nil {
log.Fatalf("tls.LoadX509KeyPair err: %v", err)
}
certPool := x509.NewCertPool()
ca, err := ioutil.ReadFile("../../conf/ca.pem")
if err != nil {
log.Fatalf("ioutil.ReadFile err: %v", err)
}
if ok := certPool.AppendCertsFromPEM(ca); !ok {
log.Fatalf("certPool.AppendCertsFromPEM err")
}
c := credentials.NewTLS(&tls.Config{
Certificates: []tls.Certificate{cert},
ServerName: "go-grpc-example",
RootCAs: certPool,
})
conn, err := grpc.Dial(":"+PORT, grpc.WithTransportCredentials(c))
if err != nil {
log.Fatalf("grpc.Dial err: %v", err)
}
defer conn.Close()
client := pb.NewSearchServiceClient(conn)
resp, err := client.Search(context.Background(), &pb.SearchRequest{
Request: "gRPC",
})
if err != nil {
log.Fatalf("client.Search err: %v", err)
}
log.Printf("resp: %s", resp.GetResponse())
}
在 Client 中絕大部分與 Server 一致,不一樣點的地方是,在 Client 請求 Server 端時,Client 端會使用根證書和 ServerName 去對 Server 端進行校驗
簡單流程大體以下:
- Client 經過請求獲得 Server 端的證書
- 使用 CA 認證的根證書對 Server 端的證書進行可靠性、有效性等校驗
- 校驗 ServerName 是否可用、有效
固然了,在設置了 tls.RequireAndVerifyClientCert 模式的狀況下,Server 也會使用 CA 認證的根證書對 Client 端的證書進行可靠性、有效性等校驗。也就是兩邊都會進行校驗,極大的保證了安全性 👍
驗證
從新啓動 server.go 和執行 client.go,查看響應結果是否正常
總結
在本章節,咱們使用 CA 頒發的根證書對客戶端、服務端的證書進行了簽發。進一步的提升了二者的通信安全
這回是真的大功告成了!
參考
本系列示例代碼
系列目錄
相關文章
- 1. Go gRPC 系列五:基於 CA 的 TLS 證書校驗
- 2. Java中使用GRPC(帶TLS認證)
- 3. 帶入gRPC:TLS 證書認證
- 4. grpc TLS證書驗證
- 5. CA認證和證書
- 6. CA證書和TLS介紹
- 7. K8S證書認證--基於CA簽名的雙向數字證書認證方式
- 8. 自建CA認證和證書
- 9. AFNetWorking https SSL認證 CA證書驗證
- 10. iOS https認證 && SSL/TLS證書申請
- 更多相關文章...
- • XML 驗證 - XML 教程
- • XML 驗證器 - XML 教程
- • ☆基於Java Instrument的Agent實現
- • 適用於PHP初學者的學習線路和建議
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
