Go gRPC 系列五：基於 CA 的 TLS 證書校驗

前言

你們好，我是煎魚，在上一章節中，咱們提出了一個問題。就是如何保證證書的可靠性和有效性？你如何肯定你 Server、Client 的證書是對的呢？

CA

爲了保證證書的可靠性和有效性，在這裏可引入 CA 頒發的根證書的概念。其遵照 X.509 標準

根證書

根證書（root certificate）是屬於根證書頒發機構（CA）的公鑰證書。咱們能夠經過驗證 CA 的簽名從而信任 CA ，任何人均可以獲得 CA 的證書（含公鑰），用以驗證它所簽發的證書（客戶端、服務端）

它包含的文件以下：

• 公鑰
• 密鑰

生成 Key

openssl genrsa -out ca.key 2048
複製代碼

生成密鑰

openssl req -new -x509 -days 7200 -key ca.key -out ca.pem
複製代碼

填寫信息

Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:go-grpc-example
Email Address []:
複製代碼

Server

生成 CSR

openssl req -new -key server.key -out server.csr
複製代碼

填寫信息

Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:go-grpc-example
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
複製代碼

CSR 是 Cerificate Signing Request 的英文縮寫，爲證書請求文件。主要做用是 CA 會利用 CSR 文件進行簽名使得攻擊者沒法假裝或篡改原有證書

基於 CA 簽發

openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in server.csr -out server.pem
複製代碼

Client

生成 Key

openssl ecparam -genkey -name secp384r1 -out client.key
複製代碼

生成 CSR

openssl req -new -key client.key -out client.csr
複製代碼

基於 CA 簽發

openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in client.csr -out client.pem
複製代碼

整理目錄

至此咱們生成了一堆文件，請按照如下目錄結構存放：

$ tree conf 
conf
├── ca.key
├── ca.pem
├── ca.srl
├── client
│   ├── client.csr
│   ├── client.key
│   └── client.pem
└── server
    ├── server.csr
    ├── server.key
    └── server.pem
複製代碼

另外有一些文件是不該該出如今倉庫內，應當保密或刪除的。但爲了真實演示因此保留着（敲黑板）

gRPC

接下來將正式開始針對 gRPC 進行編碼，改造上一章節的代碼。目標是基於 CA 進行 TLS 認證 🤫

Server

package main

import (
	"context"
	"log"
	"net"
	"crypto/tls"
	"crypto/x509"
	"io/ioutil"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"

	pb "github.com/EDDYCJY/go-grpc-example/proto"
)

...

const PORT = "9001"

func main() {
	cert, err := tls.LoadX509KeyPair("../../conf/server/server.pem", "../../conf/server/server.key")
	if err != nil {
		log.Fatalf("tls.LoadX509KeyPair err: %v", err)
	}

	certPool := x509.NewCertPool()
	ca, err := ioutil.ReadFile("../../conf/ca.pem")
	if err != nil {
		log.Fatalf("ioutil.ReadFile err: %v", err)
	}

	if ok := certPool.AppendCertsFromPEM(ca); !ok {
		log.Fatalf("certPool.AppendCertsFromPEM err")
	}

	c := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert},
		ClientAuth:   tls.RequireAndVerifyClientCert,
		ClientCAs:    certPool,
	})

	server := grpc.NewServer(grpc.Creds(c))
	pb.RegisterSearchServiceServer(server, &SearchService{})

	lis, err := net.Listen("tcp", ":"+PORT)
	if err != nil {
		log.Fatalf("net.Listen err: %v", err)
	}

	server.Serve(lis)
}
複製代碼

• tls.LoadX509KeyPair()：從證書相關文件中讀取和解析信息，獲得證書公鑰、密鑰對

func LoadX509KeyPair(certFile, keyFile string) (Certificate, error) {
	certPEMBlock, err := ioutil.ReadFile(certFile)
	if err != nil {
		return Certificate{}, err
	}
	keyPEMBlock, err := ioutil.ReadFile(keyFile)
	if err != nil {
		return Certificate{}, err
	}
	return X509KeyPair(certPEMBlock, keyPEMBlock)
}
複製代碼

• x509.NewCertPool()：建立一個新的、空的 CertPool
• certPool.AppendCertsFromPEM()：嘗試解析所傳入的 PEM 編碼的證書。若是解析成功會將其加到 CertPool 中，便於後面的使用
• credentials.NewTLS：構建基於 TLS 的 TransportCredentials 選項
• tls.Config：Config 結構用於配置 TLS 客戶端或服務器

在 Server，共使用了三個 Config 配置項：

（1）Certificates：設置證書鏈，容許包含一個或多個

（2）ClientAuth：要求必須校驗客戶端的證書。能夠根據實際狀況選用如下參數：

const (
	NoClientCert ClientAuthType = iota
	RequestClientCert
	RequireAnyClientCert
	VerifyClientCertIfGiven
	RequireAndVerifyClientCert
)
複製代碼

（3）ClientCAs：設置根證書的集合，校驗方式使用 ClientAuth 中設定的模式

Client

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"io/ioutil"
	"log"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"

	pb "github.com/EDDYCJY/go-grpc-example/proto"
)

const PORT = "9001"

func main() {
	cert, err := tls.LoadX509KeyPair("../../conf/client/client.pem", "../../conf/client/client.key")
	if err != nil {
		log.Fatalf("tls.LoadX509KeyPair err: %v", err)
	}

	certPool := x509.NewCertPool()
	ca, err := ioutil.ReadFile("../../conf/ca.pem")
	if err != nil {
		log.Fatalf("ioutil.ReadFile err: %v", err)
	}

	if ok := certPool.AppendCertsFromPEM(ca); !ok {
		log.Fatalf("certPool.AppendCertsFromPEM err")
	}

	c := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert},
		ServerName:   "go-grpc-example",
		RootCAs:      certPool,
	})

	conn, err := grpc.Dial(":"+PORT, grpc.WithTransportCredentials(c))
	if err != nil {
		log.Fatalf("grpc.Dial err: %v", err)
	}
	defer conn.Close()

	client := pb.NewSearchServiceClient(conn)
	resp, err := client.Search(context.Background(), &pb.SearchRequest{
		Request: "gRPC",
	})
	if err != nil {
		log.Fatalf("client.Search err: %v", err)
	}

	log.Printf("resp: %s", resp.GetResponse())
}
複製代碼

在 Client 中絕大部分與 Server 一致，不一樣點的地方是，在 Client 請求 Server 端時，Client 端會使用根證書和 ServerName 去對 Server 端進行校驗

簡單流程大體以下：

1. Client 經過請求獲得 Server 端的證書
2. 使用 CA 認證的根證書對 Server 端的證書進行可靠性、有效性等校驗
3. 校驗 ServerName 是否可用、有效

固然了，在設置了 tls.RequireAndVerifyClientCert 模式的狀況下，Server 也會使用 CA 認證的根證書對 Client 端的證書進行可靠性、有效性等校驗。也就是兩邊都會進行校驗，極大的保證了安全性 👍

驗證

從新啓動 server.go 和執行 client.go，查看響應結果是否正常

總結

在本章節，咱們使用 CA 頒發的根證書對客戶端、服務端的證書進行了簽發。進一步的提升了二者的通信安全

這回是真的大功告成了！

？

若是有任何疑問或錯誤，歡迎在 issues 進行提問或給予修正意見，若是喜歡或對你有所幫助，歡迎 Star，對做者是一種鼓勵和推動。

個人公衆號

參考

本系列示例代碼

• go-grpc-example