grpc使用ssl(tls) 通过openssl指定多个域名和IP

最新推荐文章于 2023-07-04 15:52:18 发布
最新推荐文章于 2023-07-04 15:52:18 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: technology 文章标签: java Grpc Openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devotedwife/article/details/84574657
版权

原文地址: http://www.ltang.me/2018/11/27/grpc-tls-openssl/

最近在使用grpc做项目,信息安全的同事提出要求,需要将来往报文加密,避免抓包。阅读grpc的文档,发现它已经支持ssl(tls),因此直接选这种认证和加密方式。

服务端和客户端代码参考grpc-java项目中的demo,摘取关键代码如下:

服务端

 private SslContextBuilder getSslContextBuilder() {
        InputStream cacert = ZooPorterRpcServer.class.getClassLoader().getResourceAsStream("ssl/server.crt");
        InputStream privkey = ZooPorterRpcServer.class.getClassLoader().getResourceAsStream("ssl/server.pem");
        SslContextBuilder sslContextBuilder = SslContextBuilder.forServer(cacert, privkey);
        return GrpcSslContexts.configure(sslContextBuilder, SslProvider.OPENSSL);
    }
 
    private void start() throws IOException {
        port = settings.getInt("server.port");
        server = NettyServerBuilder.forPort(port).addService(BeanUtil.me().getBean(ElasticsearchServiceGrpcImpl.class))
                .sslContext(getSslContextBuilder().build())
                .build()
                .start();
      
        logger.info("Server started, listening on " + port);
        Runtime.getRuntime().addShutdownHook(new Thread() {
            @Override
            public void run() {
                ZooPorterRpcServer.this.stop();
                logger.error("*** server shut down");
            }
        });
    }

客户端

    protected final ManagedChannel channel;
 
    private static SslContext buildSslContext() throws SSLException {
        SslContextBuilder builder = GrpcSslContexts.forClient();
        builder.trustManager(ZooPorterClient.class.getClassLoader().getResourceAsStream("ssl/ca.crt"));
        return builder.build();
    }
 
    public ZooPorterClient() throws SSLException {
 
        channel = NettyChannelBuilder.forAddress(Settings.HOST, Settings.PORT)
                .negotiationType(NegotiationType.TLS)
                .sslContext(buildSslContext())
                .build();
    }

密钥和证书

上述代码中,ca.cert和server.pem/server.cert是通过openssl生成的密钥和证书,生成的脚本可以直接参考项目中的readme文档。

值得注意的是,按照readme中的脚本,只能生成一个指定了域名的证书(localhost),假使我们想通过多个域名甚至多个IP来访问服务(后端做负载均衡和服务发现),这样生成的证书就不合用了,访问时会抛异常。因此修改了脚本,下面脚本仅做记录使用。

openssl genrsa -passout pass:1111 -des3 -out ca.key 1024
openssl req -passin pass:1111 -new -x509 -days 7300 -key ca.key -out ca.crt -subj "/C=CN/ST=GuangDong/CN=www.ido.com" -extensions SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:www.ido.com,IP:127.0.0.1,IP:180.137.128.151"))
openssl genrsa -passout pass:1111 -des3 -out server.key 1024
openssl req -passin pass:1111 -new -key server.key -out server.csr -subj "/C=CN/ST=GuangDong/CN=www.ido.com" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:www.ido.com,IP:127.0.0.1,IP:180.137.128.151"))
# 以下这句是grpc官方例子中生成crt文件的命令,但发现这种方式无法指定ip和多域名,因此弃用
# openssl x509 -req -passin pass:1111 -days 7300 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt 
openssl ca -passin pass:1111 -days 7300 -in server.csr -keyfile ca.key -cert ca.crt -extensions SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:www.ido.com,IP:127.0.0.1,IP:180.137.128.151"))
openssl rsa -passin pass:1111 -in server.key -out server.key
openssl pkcs8 -topk8 -nocrypt -in server.key -out server.pem

这样生成的证书,经过测试,可以部署在多个IP(这里是127.0.0.1和180.137.128.151)服务器上,正常访问。

其他

然而,这需要先知道有哪些IP即将部署服务啊!!假如以后部署服务的服务器越来越多,难道要重新生成证书并且更新服务和客户端吗?

得考虑下,这个ip能否是*号,或者其他任何方法,使得服务端增加节点,不影响 客户端正常调用。

devotedwife
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
24. 【gRPC系列学习】gRPC安全认证-TLS认证
菜鸟的博客
12-24 825
gRPC 安全认证-TLS认证
使用Openssl生成多域名(SAN)csr文件和证书
runningcode的博客
04-21 4638
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本带扩展属性的证书 req_extensions = ...
使用openssl创建多泛域名IP的自签名证书
qq1091606981的专栏
01-06 2242
使用openssl创建多泛域名IP的自签名证书
GRPCSSL安全实现
m0_46083365的博客
03-04 1616
1.利用openssl生成密钥 #!/bin/sh openssl genrsa -out server.key 2048 openssl req -new -x509 -days 3650 \ -subj "/C=GB/L=China/O=grpc-server/CN=localhost" \ -key server.key -out server.crt openssl g...
基于OpenSSL的CA建立及证书签发(签发多域名/IP
hobby云说
06-09 3949
自签SSL证书(多域名/IP) 本文基于以下环境: 内核信息:Linux zabbix 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 系统版本:CentOS Linux release 7.6.1810 (Core) OpenSSL版本:OpenSSL 1.0.2k-fips 26 Jan 2017 【前言】 在基于OpenSSL的CA建立及证书签发一文中(后面统.
OpenSSL自签发配置有多域名ip地址的证书
热门推荐
山鬼谣的专栏
12-12 3万+
环境翻译加实践概述HTTPS服务是工作在SSL/TLS上的HTTP。 首先简单区分一下HTTPS,SSLTLSOpenSSL这四者的关系: SSL:(Secure Socket Layer,安全套接字层)是在客户端和服务器之间建立一条SSL安全通道的安全协议; TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性; TLS
c++客户端 grpc_grpcTLS加密和令牌认证
weixin_39587238的博客
12-21 977
grpcTLS加密和令牌认证(金庆的专栏 2018.11)用 golang 创建 grpc 服务,开启 TLS 加密,并采用令牌认证。然后用 C++ 和 golang 分别创建客户端连接服务器。参考:https://segmentfault.com/a/1190000007933303服务器import (...grpc_auth "github.com/grpc-ecosystem/go-gr...
Java使用GRPC(带TLS认证)
weixin_30487317的博客
02-20 1535
0.编写.proto syntax = "proto3"; option java_multiple_files = true; option java_package = "io.grpc.examples.helloworld"; option java_outer_classname = "HelloWorldProto"; option objc_class_prefix...
建立安全的 gRPC 连接:TLS_SSL 的用法与实践
gRPC 是一个高性能、开源的远程过程调用框架,它使用 Protocol Buffers 作为接口定义语言,并默认使用 HTTP/2 作为传输协议,具有诸多优势,如较低的延迟、双向流和多语言支持等。因此,gRPC 在微服务架构中得到了...
openssl创建的自签名证书,使用自签发证书--指定使用域名、泛域名及直接使用IP地址...
qq_30665009的博客
07-20 2467
openssl创建的自签名证书,使用自签发证书--指定使用域名、泛域名及直接使用IP地址在开发环境及私有环境下需要使用SSL,于是创建自签发证书,而必须支持多域名、泛域名、直接IP访问1. Nginx的ssl模块安装详情步骤参考:https://www.cnblogs.com/haolb123/p/15030631.html2. nginx加入systemd管理在目录/lib/systemd/...
grpc 实现oauth ssl
10-28
grpc 实现oauth ssl ssl需要证书详情 http://www.jianshu.com/p/f5e1c002047a 使用SSL实现加密通讯
openssl编程3 根据给定的域名自动伪造应用证书
whatday的专栏
01-07 748
如前所属,此函数的是从X509_NAME_oneline函数输出的信息中依次提取国家代码、省份、城市、公司、部门,以及通用名这六个字段,判断字段的取值中是否有需处理的特殊字符,若有则转义,保存转义后的各字段取值,最后再将所有字段拼接成一个可作为选项-subj的参数的完整字符串。至此,我们已经拿到了所有所需的信息,而后就可以实用Linux提供的系统调用System(),依次执行上一节提到的制作应用证书的三个命令,从而完成证书的自动伪造。最早,傻不拉几的先生成了一个经加密保护的私钥,再解密。
客户连接多个服务端_Go gRPC 客户端服务保障如何做?负载均衡、重试、健康检查...
weixin_39526564的博客
11-30 1459
点击上方蓝色“Go语言中文网”关注我们,领全套Go资料,每天学习Go语言本文作者:杨锡坤原文链接:http://yangxikun.com/golang/2019/10/19/golang-grpc-client-side-lb.htmlGo gRPC 客户端是如何管理与服务端的连接的? grpc.ClientConn 表示一个客户端实例与服务端之间的连接,主要包含如下数据结构:1、...
grpc openssl x509 pem
weixin_34357887的博客
06-08 493
2019独角兽企业重金招聘Python工程师标准>>> ...
java高可用grpc_Java使用GRPC(带TLS认证)
weixin_39664774的博客
12-23 575
0.编写.protosyntax = "proto3";option java_multiple_files = true;option java_package = "io.grpc.examples.helloworld";option java_outer_classname = "HelloWorldProto";option objc_class_prefix = "HLW";packa...
生成openssl绑定服务段IP地址证书
最新发布
weixin_36679105的博客
07-04 636
使用openssl生成根证书并绑定服务端ip地址以及使用springboot进行双效校验
OpenSSL-基于IP域名生成自签名证书脚本
念舒C.ying
05-15 3087
创建自签名证书,在执行此命令时,您可以使用-days选项来指定证书的有效期。在上述示例中,证书的有效期为10年(3650天)。如果您想要更长期的有效期,可以将该值增加
gRPC 安全性设计
m0_46083365的博客
03-04 2577
RPC 调用安全策略 1.1 严峻的安全形势 1.2 敏感数据加密传输 1.2.1 基于 SSL/TLS 的通道加密 1.2.2 针对敏感数据的单独加密 1.3 认证和鉴权 1.3.1 身份认证 1.3.2 权限管控 1.4 数据完整性和一致性 gRPC 安全机制 2.1 SSL/TLS 认证 2.1.1 SSL/TLS 工作原理 2.1.2 HTTP/2 的 ALPN 2.1.3 gRPC 的...
【Golang | gRPC使用TLS/SSL认证的gRPC服务
土豆
07-03 1955
环境: Golang: go1.18.2 windows/amd64 grpc: v1.47.0 protobuf: v1.28.0 OpenSSL: 3.0.4完整代码: https://github.com/WanshanTian/GolangLearning cd GolangLearning/RPC/gRPC-cred支持很多认证机制,如:, ,,同时支持以插件的方式使用自定义的认证机制。 本文主要介绍认证机制的使用【Golang | gRPC使用gRPC实现简单远程调用 实现了无认证的gRPC
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值