go学习笔记 Windows Go 1.15 以上版本的 GRPC 通信【自签CA和双向认证】

简单说一下我的环境 win7+go1.15.6,GO1.15   X509 不能用了 ,

证书

需要用到SAN证书,下面就介绍一下SAN证书生成。首先需要下载 OpenSSL http://slproweb.com/products/Win32OpenSSL.html 

第1步:生成 CA 根证书

openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:shanghai
Locality Name (eg, city) []:shanghai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:custer
Organizational Unit Name (eg, section) []:custer
Common Name (e.g. server FQDN or YOUR name) []:localhost
Email Address []:

第2步:用 openssl 生成 ca 和双方 SAN 证书。

准备默认 OpenSSL 配置文件于当前目录

linux系统在 : /etc/pki/tls/openssl.cnf

Mac系统在: /System/Library/OpenSSL/openssl.cnf

Windows:安装目录下 openssl.cfg 比如 D:\Program Files\OpenSSL-Win64\bin\openssl.cfg

1:拷贝配置文件到项目 然后修改

2:找到 [ CA_default ],打开 copy_extensions = copy

3:找到[ req ],打开 req_extensions = v3_req # The extensions to add to a certificate request

4:找到[ v3_req ],添加 subjectAltName = @alt_names

5:添加新的标签 [ alt_names ] , 和标签字段

[ alt_names ]
DNS.1 = localhost
DNS.2 = *.custer.fun

这里填入需要加入到 Subject Alternative Names 段落中的域名名称,可以写入多个。

第3步:生成服务端证书

 openssl genpkey -algorithm RSA -out server.key

openssl req -new -nodes -key server.key -out server.csr -days 3650 -subj "/C=cn/OU=custer/O=custer/CN=localhost" -config ./openssl.cfg -extensions v3_req

openssl x509 -req -days 3650 -in server.csr -out server.pem -CA ca.pem -CAkey ca.key -CAcreateserial -extfile ./openssl.cfg -extensions v3_req

server.csr是上面生成的证书请求文件。ca.pem/ca.key是CA证书文件和key,用来对server.csr进行签名认证。这两个文件在之前生成的。

第4步:生成客户端证书

openssl genpkey -algorithm RSA -out client.key

openssl req -new -nodes -key client.key -out client.csr -days 3650 -subj "/C=cn/OU=custer/O=custer/CN=localhost" -config ./openssl.cfg -extensions v3_req

openssl x509 -req -days 3650 -in client.csr -out client.pem -CA ca.pem -CAkey ca.key -CAcreateserial -extfile ./openssl.cfg -extensions v3_req

现在 Go 1.15 以上版本的 GRPC 通信,这样就完成了使用自签CA、Server、Client证书和双向认证

GPRC

1.安装protobuf , https://github.com/protocolbuffers/protobuf/releases可以下载, 然后配置到环境变量Path中 ,protoc --version 查看版本如下:

2,。安装相应的包

go get -u github.com/golang/protobuf/proto  //安装 golang 的proto工具包
go get -u github.com/golang/protobuf/protoc-gen-go //安装 goalng 的proto编译支持
go get -u google.golang.org/grpc  //安装 GRPC 包

3.创建 proto 文件#

proto 文件是微服务交互的基本,proto的语法可见GoogleDocs,这里简单写一个示例(spider.proto)

syntax = "proto3";  // 协议为proto3

package spider;  // 包名

// 发送请求
message SendAddress {
    // 发送的参数字段
    // 参数类型 参数名 标识号(不可重复)
    string address = 1;  // 要请求的地址
    string method = 2;  // 请求方式
}

// 返回响应
message GetResponse {
    // 接收的参数字段
    // 参数类型 参数名 标识号
    int32 httpCode = 1;  // http状态码
    string response = 2;  // 返回体
}

// 定义服务,可定义多个服务,每个服务可多个接口
service GoSpider {
    // rpc请求 请求的函数 (发送请求参数) returns (返回响应的参数)
    rpc GetAddressResponse (SendAddress) returns (GetResponse);
}

4.生成 .bp.go 文件# 使用刚才下载的 protoc 工具将 proto 文件编译成 golang 可识别的文件 【我是后来才创建spider 文件夹的,把spider.pb.go 和spider.proto 移到文件夹中

                            输出的目录 proto所在目录
protoc --go_out=plugins=grpc:./ ./spider.proto

需要注意的是,在本个 demo 中,客户端与服务端都是 Golang,所以在客户端与服务端都公用一个 pb.go 模板文件(如果是不同的语言生成的pb是对应语言),可以将 pb.go 文件放置在云上由双方引用,也可以生成两个副本放在两端项目中,本次就使用 COPY 两份的方式
由于 Golang 一个文件夹只有一个 package,而生成的 pb.go 文件 package 为创建 proto 的名字(示例为 spider), 所以我们在项目内单独建立文件夹 spider将文件放入其中即可正常使用

5.整个GPRC的代码如下【我是服务端 和客户端在一起的】

package main

import (
	"context"
	"fmt"
	"io/ioutil"
	"main/spider"
	"net"
	"net/http"
	"time"

	"google.golang.org/grpc"
	"google.golang.org/grpc/reflection"
)

type server struct{}

// 接收client端的请求,函数名需保持一致
// ctx参数必传
// 参数二为自定义的参数,需从pb文件导入,因此pb文件必须可导入,文件放哪里随意
// 返回值同参数二,为pb文件的返回结构体指针
func (s *server) GetAddressResponse(ctx context.Context, a *spider.SendAddress) (*spider.GetResponse, error) {
	// 逻辑写在这里
	switch a.Method {
	case "get", "Get", "GET":
		// 演示微服务用,故只写get示例
		status, body, err := get(a.Address)
		if err != nil {
			return nil, err
		}
		res := spider.GetResponse{
			HttpCode: int32(status),
			Response: body,
		}
		return &res, nil
	}
	return nil, nil
}

func get(address string) (s int, r string, err error) {
	// get请求
	resp, err := http.Get(address)
	if err != nil {
		return
	}
	defer resp.Body.Close()
	s = resp.StatusCode
	body, err := ioutil.ReadAll(resp.Body)
	if err != nil {
		return
	}
	r = string(body)
	return
}
func GPRCServer() {
	// 监听本地端口
	listener, err := net.Listen("tcp", "localhost:8080")
	if err != nil {
		return
	}
	s := grpc.NewServer()                       // 创建GRPC
	spider.RegisterGoSpiderServer(s, &server{}) // 在GRPC服务端注册服务

	reflection.Register(s) // 在GRPC服务器注册服务器反射服务
	// Serve方法接收监听的端口,每到一个连接创建一个ServerTransport和server的grroutine
	// 这个goroutine读取GRPC请求,调用已注册的处理程序进行响应
	err = s.Serve(listener)
	if err != nil {
		return
	}
}

func GPRCClient() {
	// 连接服务器
	conn, err := grpc.Dial("localhost:8080", grpc.WithInsecure())
	if err != nil {
		fmt.Println(err)
		return
	}
	defer conn.Close()

	// 连接GRPC
	c := spider.NewGoSpiderClient(conn)
	// 创建要发送的结构体
	req := spider.SendAddress{
		Address: "http://www.baidu.com",
		Method:  "get",
	}
	// 调用server的注册方法
	r, err := c.GetAddressResponse(context.Background(), &req)
	if err != nil {
		fmt.Println(err)
		return
	}
	// 打印返回值
	fmt.Println(r)
}

func main() {
	go GPRCServer()
	time.Sleep(1000)
	go GPRCClient()
	var s string
	fmt.Scan(&s)

}

3.修改GPRC程序 使用证书

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"io/ioutil"
	"main/spider"
	"net"
	"net/http"
	"time"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/reflection"
)

type server struct{}

// 接收client端的请求,函数名需保持一致
// ctx参数必传
// 参数二为自定义的参数,需从pb文件导入,因此pb文件必须可导入,文件放哪里随意
// 返回值同参数二,为pb文件的返回结构体指针
func (s *server) GetAddressResponse(ctx context.Context, a *spider.SendAddress) (*spider.GetResponse, error) {
	// 逻辑写在这里
	switch a.Method {
	case "get", "Get", "GET":
		// 演示微服务用,故只写get示例
		status, body, err := get(a.Address)
		if err != nil {
			return nil, err
		}
		res := spider.GetResponse{
			HttpCode: int32(status),
			Response: body,
		}
		return &res, nil
	}
	return nil, nil
}

func get(address string) (s int, r string, err error) {
	// get请求
	resp, err := http.Get(address)
	if err != nil {
		return
	}
	defer resp.Body.Close()
	s = resp.StatusCode
	body, err := ioutil.ReadAll(resp.Body)
	if err != nil {
		return
	}
	r = string(body)
	return
}
func GPRCServer() {
	// 监听本地端口
	listener, err := net.Listen("tcp", "localhost:8080")
	if err != nil {
		return
	}

	//证书
	cert, _ := tls.LoadX509KeyPair("server.pem", "server.key")
	certPool := x509.NewCertPool()
	ca, _ := ioutil.ReadFile("ca.pem")
	certPool.AppendCertsFromPEM(ca)

	creds := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert},
		ClientAuth:   tls.RequireAndVerifyClientCert,
		ClientCAs:    certPool,
	})
	s := grpc.NewServer(grpc.Creds(creds)) // 创建GRPC

	spider.RegisterGoSpiderServer(s, &server{}) // 在GRPC服务端注册服务

	reflection.Register(s) // 在GRPC服务器注册服务器反射服务
	// Serve方法接收监听的端口,每到一个连接创建一个ServerTransport和server的grroutine
	// 这个goroutine读取GRPC请求,调用已注册的处理程序进行响应
	err = s.Serve(listener)
	if err != nil {
		return
	}
}

func GPRCClient() {
	cert, _ := tls.LoadX509KeyPair("client.pem", "client.key")
	certPool := x509.NewCertPool()
	ca, _ := ioutil.ReadFile("ca.pem")
	certPool.AppendCertsFromPEM(ca)

	creds := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert},
		ServerName:   "localhost",
		RootCAs:      certPool,
	})
	// 连接服务器
	conn, err := grpc.Dial("localhost:8080", grpc.WithTransportCredentials(creds))
	if err != nil {
		fmt.Println(err)
		return
	}
	defer conn.Close()

	// 连接GRPC
	c := spider.NewGoSpiderClient(conn)
	// 创建要发送的结构体
	req := spider.SendAddress{
		Address: "http://www.baidu.com",
		Method:  "get",
	}
	// 调用server的注册方法
	r, err := c.GetAddressResponse(context.Background(), &req)
	if err != nil {
		fmt.Println(err)
		return
	}
	// 打印返回值
	fmt.Println(r)
}

func main() {
	go GPRCServer()
	time.Sleep(1000)
	go GPRCClient()
	var s string
	fmt.Scan(&s)

}

--------------------------------------------------------------------------------------------------------------------

开启grpc的双向认证

受到 asp.ner core 5.0 Grpc双向认证 和 restful api包装 外加swagger启用【VSCode创建】,决定多开一个 端口 用于grpc tsl的双向认证, 修改后的server/main.go代码如下:

package main

import (
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"hello/gateway"
	pb "hello/protos"
	"hello/server/services"
	"io/ioutil"
	"log"
	"net"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/reflection"
)

func main() {
	//grpc
	grpctslPort := ":9090"
	grpcPort := ":8081"
	httpPort := ":8080"
	///grpc tsl 用于双向认证
	go GrpcTslServer(grpctslPort)

	///普通的主要是便于gateway使用
	lis, err := net.Listen("tcp", grpcPort)

	if err != nil {
		log.Fatalf("failed to listen: %v", err)
	}
	//gateway
	go gateway.HttpRun(grpcPort, httpPort)
	s := grpc.NewServer()
	pb.RegisterGreeterServer(s, services.NewServer())
	fmt.Println("rpc services started, listen on localhost" + grpcPort)
	s.Serve(lis)
}
func GrpcTslServer(grpctslPort string) error {
	//证书
	cert, a := tls.LoadX509KeyPair("../certs/server.pem", "../certs/server.key")
	if a != nil {
		fmt.Println(a)
	}
	certPool := x509.NewCertPool()
	ca, _ := ioutil.ReadFile("../certs/ca.pem")
	certPool.AppendCertsFromPEM(ca)

	creds := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert},
		ClientAuth:   tls.RequireAndVerifyClientCert,
		ClientCAs:    certPool,
	})
	sl := grpc.NewServer(grpc.Creds(creds)) // 创建GRPC

	pb.RegisterGreeterServer(sl, services.NewServer())

	reflection.Register(sl) // 在GRPC服务器注册服务器反射服务
	listener, err := net.Listen("tcp", grpctslPort)
	if err != nil {
		fmt.Println(err)
		return err
	}
	fmt.Println("rpc tsl services started, listen on localhost" + grpctslPort)
	return sl.Serve(listener)

}

client/main.go如下:

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"encoding/json"
	"fmt"
	pb "hello/protos"
	"io/ioutil"
	"net/http"
	"strings"
	"time"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
)

func main() {
	///grpc client
	req := pb.HelloRequest{Name: "gavin"}
	cert, err := tls.LoadX509KeyPair("../certs/client.pem", "../certs/client.key")
	certPool := x509.NewCertPool()
	ca, _ := ioutil.ReadFile("../certs/ca.pem")
	certPool.AppendCertsFromPEM(ca)

	creds := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert},
		ServerName:   "localhost",
		RootCAs:      certPool,
	})
	// GRPC
	conn, err := grpc.Dial("localhost:9090", grpc.WithTransportCredentials(creds))
	if err != nil {
		fmt.Println(err)
		return
	}
	defer conn.Close()
	//c := sv.NewServer()
	c := pb.NewGreeterClient(conn)
	r, err := c.SayHello(context.Background(), &req)
	if err != nil {
		fmt.Println(err)
	}

	// 打印返回值
	fmt.Println(r)
	fmt.Println("http Start......................")
	//http
	requestByte, _ := json.Marshal(req)
	client := http.Client{Timeout: 15 * time.Second}
	resp, err := client.Post("http://localhost:8080/hello_world", "application/json", strings.NewReader(string(requestByte)))

	bodyBytes, err := ioutil.ReadAll(resp.Body)
	defer resp.Body.Close()
	fmt.Println(string(bodyBytes))

}

运行效果:

D:\GoProject\src\gogrpccertAndgateway\server>go run main.go
rpc tsl services started, listen on localhost:9090
rpc services started, listen on localhost:8081
grpc-gateway listen on localhost:8080
request:  gavin
D:\GoProject\src\gogrpccertAndgateway\client>go run main.go
request:  gavin
message:"hello, gavin"
http Start......................
{"message":"hello, gavin"}

备注 在win7 如果提示证书握手失败, 请安装ca.crt证书 到受信任中心 【openssl x509 -outform der -in ca.pem -out ca.crt】

源码下载 https://download.csdn.net/download/dz45693/13985838   https://github.com/dz45693/gogrpccertAndgateway.git

 

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:编程工作室 设计师:CSDN官方博客 返回首页
评论 1

打赏作者

dz45693

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值