gRPC实践--加密通信

gRPC实践–加密通信

前提阅读：

• gRPC实践–Server&Client

本文将在上一篇的代码基础上，进行加密通信的编写。

在gRPC的demo通信中，有服务端和客户端，他们之间都是明文通信的，这样会带来安全隐患。

一般的，gRPC有几种方法对server 和 client 之间的通信进行加密，即，身份验证机制：

这里，介绍最常用的证书认证机制，通过使用证书认证，在TLS协议下，实现加密通信。

我们知道，gRPC建立在HTTP/2协议之上，所以对 TLS 提供了很好的支持。

之前的gRPC的服务都没有提供证书支持，因此客户端在链接服务器中通过grpc.WithInsecure()选项跳过了对服务器证书的验证。没有启用证书的gRPC服务在和客户端进行的是明文通讯，信息面临被任何第三方监听的风险。为了保障gRPC通信不被第三方监听篡改或伪造，我们可以对服务器启动TLS加密特性。

​ ---------《Go语言高级编程(Advanced Go Programming)》

证书

在go 版本在1.15以下时，参考博客：带入gRPC：TLS 证书认证，我们可以轻松完成证书的加密通信。但是，在go v1.15以后，如果使用一般的证书通信，则会报错：

2021/04/24 15:37:11 could not greet: rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0"

总的来说，就是：

身份验证失败了，因为GO 1.15以后X509 不能用了，提示我们有两个选择：
1. 需要使用SAN 证书
2. 改变环境变量：GODEBUG=x509ignoreCN=0

这里，我们选择使用SAN证书，进行通信

SAN and openssl

首先，我们看看什么是SAN证书：

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书，可以扩展此证书支持的域名，使得一个证书可以支持多个不同域名的解析。

要生成SAN证书，需要以下几步：

1. 修改openssl.cfg

如果是Linux系统的话，应该修改的是openssl.cnf文件，我这个是windos,所以就是openssl.cfg。

找到你安装openssl 程序的目录，我的为E:\OpenSSL-Win64\bin，如果没有该程序，可以从这里官网下载。

将openssl.cfg文件拷贝到需要生成证书的那个目录，进行修改

1. 打开copy_extensions 在CA_default节

[ CA_default ]
...
copy_extensions = copy # Extension copying option: use with caution.
...

2. 打开req_extensions 在req中修改。

[ req ]
...
req_extensions = v3_req # The extensions to add to a certificate request
...

这段配置表示在生成 CSR 文件时读取名叫 v3_req 的段落的配置信息，因此我们再在此配置文件中加入一段名为 v3_req 的配置：

3. 增加subjectAltName 在v3_req节

[ v3_req ]
...
subjectAltName = @alt_names
## 这段配置中最重要的是在最后导入名为 alt_names 的配置段，
## 因此我们还需要添加一个名为 [ alt_names ] 的配置段，这可以定义多个服务
[alt_names]
DNS.1 = *.org.example.com 
DNS.2 = *.example.com

参考：[使用openssl创建包含SAN的证书](使用openssl创建包含SAN的证书 - 简书 (jianshu.com))

2. 生成根证书

现在，开始生成证书，首先是生成CA证书：

生成CA私钥（.key）–>生成CA证书请求（.csr）–>自签名得到根证书（.crt）（CA给自已颁发的证书）。

生成根证书私钥
openssl genrsa -out ca.key 2048 

生成CA证书请求
openssl req -new -key ca.key -out ca.csr -subj "/C=cn/OU=myorg/O=mytest/CN=myname"

自签名得到根证书
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

其中：

• genrsa：使用RSA算法产生私钥
• -in：要输入的csr文件
• -out：输出文件的路径
• -subj：证书相关的用户信息(subject的缩写)
• -key：指定私钥路径
• -new：新证书签发请求
• -req：输入csr文件
• -days：证书的有效期（天）

3. 生成SNA的服务端证书

生成服务端私钥（serve.key）–>生成服务端证书请求（server.csr）–>CA对服务端请求文件签名，生成服务端证书（server.pem）

生成服务端证书私钥
openssl genrsa -out server.key 2048

根据私钥server.key生成证书请求文件server.csr
$ openssl req -new -nodes -key server.key -out server.csr -subj "/C=cn/OU=myserver/O=servercomp/CN=servername" -config ./openssl.cfg -extensions v3_req

请求CA对证书请求文件签名，生成最终证书文件
λ openssl x509 -req -days 365 -in server.csr -out server.pem -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./openssl.cfg -extensions v3_req
Signature ok
subject=C = cn, OU = myserver, O = servercomp, CN = servername
Getting CA Private Key

验证：

λ openssl x509 -noout -text -in server.pem
Certificate:
    Data:
        ......
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name:
                DNS:*.org.haha.com, DNS:*.haha.com
    ......

代码实现

在实现代码之前，我们注意到client.go 中的一个代码：

// 连接 gRPC 服务器
conn, err := grpc.Dial(address, grpc.WithInsecure())

其中，grpc.WithInsecure() 函数，正如开头引用中提到的，这个选项会使得程序跳过对服务器证书的验证，这样服务端和客户端就成立明文通信。

事实上，WithInsecure()最终会通过读取设置的值来禁用安全传输，具体说明，可以参考下面这篇博客：带入gRPC：TLS 证书认证 - SegmentFault 思否

---

有了证书之后，我们就可以在启动gRPC服务时传入证书选项参数:

在server 和 client 上实现 TLS 证书认证的加密通信：

目录结构

λ tree /F
D:.
│  go.mod
│  go.sum
├─cert
│      ca.crt
│      ca.csr
│      ca.key
│      openssl.cfg
│      server.csr
│      server.key
│      server.pem
├─client
│      client.go
├─proto
│      helloworld.pb.go
│      helloworld.proto
└─server
        server.go

Server

其中：

• credentials.NewServerTLSFromFile：根据服务端输入的证书文件和密钥构造 TLS 凭证

func NewServerTLSFromFile(certFile, keyFile string) (TransportCredentials, error) {
    cert, err := tls.LoadX509KeyPair(certFile, keyFile)
    if err != nil {
        return nil, err
    }
    return NewTLS(&tls.Config{Certificates: []tls.Certificate{cert}}), nil
}

• grpc.Creds()：返回一个 ServerOption，用于设置服务器连接的凭据。用于 grpc.NewServer(opt ...ServerOption) 为 gRPC Server 设置连接选项

func Creds(c credentials.TransportCredentials) ServerOption {
    return func(o *options) {
        o.creds = c
    }
}

经过以上两个简单步骤，gRPC Server 就建立起需证书认证的服务啦。

Client

其中：

• credentials.NewClientTLSFromFile()：根据客户端输入的证书文件和密钥构造 TLS 凭证。serverNameOverride 为服务名称

func NewClientTLSFromFile(certFile, serverNameOverride string) (TransportCredentials, error) {
    b, err := ioutil.ReadFile(certFile)
    if err != nil {
        return nil, err
    }
    cp := x509.NewCertPool()
    if !cp.AppendCertsFromPEM(b) {
        return nil, fmt.Errorf("credentials: failed to append certificates")
    }
    return NewTLS(&tls.Config{ServerName: serverNameOverride, RootCAs: cp}), nil
}

• grpc.WithTransportCredentials()：返回一个配置连接的 DialOption 选项。用于 grpc.Dial(target string, opts ...DialOption) 设置连接选项

func WithTransportCredentials(creds credentials.TransportCredentials) DialOption {
    return newFuncDialOption(func(o *dialOptions) {
        o.copts.TransportCredentials = creds
    })
}

验证

总结

本文讲述了gRPC的证书通信的简单示例。主要为服务端颁发了证书，之后服务端和客户端都基于一个证书进行TLS的加密通信。

但，在实际生产环境中，以上这种方式，需要提前将服务器的证书告知客户端，这样客户端在链接服务器时才能进行对服务器证书认证。在复杂的网络环境中，服务器证书的传输本身也是一个非常危险的问题。如果在中间某个环节，服务器证书被监听或替换那么对服务器的认证也将不再可靠。

为了避免证书的传递过程中被篡改，可以通过一个安全可靠的根证书分别对服务器和客户端的证书进行签名。这样客户端或服务器在收到对方的证书后可以通过根证书进行验证证书的有效性。

参考

• Go语言高级编程(Advanced Go Programming)
• 带入gRPC：TLS 证书认证
• gRPC官网EN