golang grpc ssl

已于 2023-02-24 15:38:18 修改
阅读量460 收藏
点赞数
分类专栏: Golang 文章标签: ssl golang 服务器
于 2023-02-24 15:31:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20817327/article/details/129200305
版权
本文介绍了在无中央证书权威(CA)和有CA的场景下,如何使用OpenSSL生成和配置SSL/TLS证书进行客户端和服务器的身份验证。在无CA场景中,客户端和服务器分别持有对方的公钥进行单向或双向认证。而在有CA的场景中,CA用于签署证书,确保通信的安全性。文章详细展示了客户端和服务器的Go语言代码示例,演示了如何加载和使用证书进行认证。
摘要由CSDN通过智能技术生成
  1. 无CA场景
    在不考虑CA的场景下呢,client有client.key和client.crt,server有server.key和server.crt,生成方式可以如下:
$ openssl genrsa -out server.key 2048
$ openssl req -new -x509 -days 3650 \
    -subj "/C=GB/L=China/O=grpc-server/CN=server.grpc.io" \
    -key server.key -out server.crt

$ openssl genrsa -out client.key 2048
$ openssl req -new -x509 -days 3650 \
    -subj "/C=GB/L=China/O=grpc-client/CN=client.grpc.io" \
    -key client.key -out client.crt

key对应的是私钥,crt对应的是公钥

如果需要认证呢,首先, 认证分为单向认证和双向认证。
单向认证,client对server的认证,
双向认证,顾名思义是client和server相互认证

那么,对于client认证server来说,需要把server的公钥server.crt传给client,代码如下:

client

func main() {
    creds, err := credentials.NewClientTLSFromFile(
        "server.crt", "server.grpc.io",
    )
    if err != nil {
        log.Fatal(err)
    }

    conn, err := grpc.Dial("localhost:5000",
        grpc.WithTransportCredentials(creds),
    )
    if err != nil {
        log.Fatal(err)
    }
    defer conn.Close()

    ...
}

server

func main() {
    creds, err := credentials.NewServerTLSFromFile("server.crt", "server.key")
    if err != nil {
        log.Fatal(err)
    }

    server := grpc.NewServer(grpc.Creds(creds))

    ...
}

那么对于双向认证来说,不仅client需要校验server的公钥server.crt,server同样需要校验client的公钥client.crt

server

func main() {
    creds, err := credentials.NewServerTLSFromFile("server.crt", "server.key")
    if err != nil {
        log.Fatal(err)
    }

    server := grpc.NewServer(grpc.Creds(creds))

    ...
}

client

func main() {
    creds, err := credentials.NewClientTLSFromFile(
        "server.crt", "server.grpc.io",
    )
    if err != nil {
        log.Fatal(err)
    }

    conn, err := grpc.Dial("localhost:5000",
        grpc.WithTransportCredentials(creds),
    )
    if err != nil {
        log.Fatal(err)
    }
    defer conn.Close()

    ...
}
  1. 对于有Ca的场景,ca就是一个第三方认证机构,来保证

一般来说,ca的证书生成如下

生成ca私钥

 openssl genrsa -out ca.key 4096

生成CA证书

openssl req -new -x509 -days 365 -subj "/C=GB/L=Beijing/O=github/CN=liuqh.icu" \
-key ca.key -out ca.crt

这样我们就得到了一个ca.crt的ca证书

然后我们如何用ca证书对公钥进行签发呢?一般流程如下

以client端举例

生成私钥

openssl genrsa -out client.key

生成CSR

openssl req -new -subj "/C=GB/L=Beijing/O=github/CN=liuqh.icu"  \
-key client.key -out client.csr

基于CA签发证书

openssl x509 -req -sha256 -CA ca.crt -CAkey ca.key -CAcreateserial -days 365 \
-in client.csr -out client.crt

其实这里感觉屏蔽了很多细节。首先我们要知道,基于ca签发证书,本质是通过ca的私钥加密生成了client公钥client.crt,如果server安装了ca.crt,则server就获得了ca的公钥,这样可以对ca签发的client.crt进行解密验证。反向是相同道理的。

那我们再分析几种场景的写法,首先单向认证,client验证server,那么client只需要ca.crt即可验证server了

client

func main() {
	// Load the server's CA certificate
	caCert, err := ioutil.ReadFile("ca.crt")
	if err != nil {
		log.Fatalf("failed to load CA certificate: %v", err)
	}
	caCertPool := x509.NewCertPool()
	if ok := caCertPool.AppendCertsFromPEM(caCert); !ok {
		log.Fatalf("failed to append CA certificate to the certificate pool")
	}

	// Create a new TLS configuration with the client's certificate and private key
	tlsConfig := &tls.Config{
		ServerName:   nodeConfigSsl.ServerName,
		RootCAs:      caCertPool,
	}

	// Create a new gRPC connection with the TLS transport credential
	clientCreds := credentials.NewTLS(tlsConfig)
	conn, err := grpc.Dial("localhost:12345", grpc.WithTransportCredentials(clientCreds))
	if err != nil {
	}

	// Create a new gRPC client with the connection
	client := NewGreeterClient(conn)
	
	// Send a gRPC request to the server
	resp, err := client.SayHello(context.Background(), &HelloRequest{Name: "Alice"})
	if err != nil {
		log.Fatalf("failed to send request: %v", err)
	}
	
	// Print the server's response
	fmt.Println(resp.Message)
}

server

func main() {
	// Load the server's certificate, private key, and CA certificate
	serverCert, err := tls.LoadX509KeyPair("server.crt", "server.key")
	if err != nil {
		log.Fatalf("failed to load server credentials: %v", err)
	}

	// Create a new TLS configuration with the server's certificate and private key
	tlsConfig := &tls.Config{
		Certificates: []tls.Certificate{serverCert},
	}

	// Create a new gRPC server with the TLS transport credential
	serverCreds := credentials.NewTLS(tlsConfig)
	server := grpc.NewServer(grpc.Creds(serverCreds))

	// Register the gRPC server
	RegisterGreeterServer(server, &greeterServer{})

	// Listen for incoming connections
	lis, err := net.Listen("tcp", ":12345")
	if err != nil {
		log.Fatalf("failed to listen: %v", err)
	}

	// Start the gRPC server
	if err := server.Serve(lis); err != nil {
		log.Fatalf("failed to serve: %v", err)
	}
}

第二种双向验证,则需要client传送公钥,但是同时也server也需要传送公钥

server

func main() {
	// Load the server's certificate, private key, and CA certificate
	serverCert, err := tls.LoadX509KeyPair("server.crt", "server.key")
	if err != nil {
		log.Fatalf("failed to load server credentials: %v", err)
	}
	caCert, err := ioutil.ReadFile("ca.crt")
	if err != nil {
		log.Fatalf("failed to load CA certificate: %v", err)
	}
	caCertPool := x509.NewCertPool()
	if ok := caCertPool.AppendCertsFromPEM(caCert); !ok {
		log.Fatalf("failed to append CA certificate to the certificate pool")
	}

	// Create a new TLS configuration with the server's certificate and private key
	tlsConfig := &tls.Config{
		Certificates: []tls.Certificate{serverCert},
		ClientAuth:   tls.RequireAndVerifyClientCert,
		ClientCAs:    caCertPool,
	}

	// Create a new gRPC server with the TLS transport credential
	serverCreds := credentials.NewTLS(tlsConfig)
	server := grpc.NewServer(grpc.Creds(serverCreds))

	// Register the gRPC server
	RegisterGreeterServer(server, &greeterServer{})

	// Listen for incoming connections
	lis, err := net.Listen("tcp", ":12345")
	if err != nil {
		log.Fatalf("failed to listen: %v", err)
	}

	// Start the gRPC server
	if err := server.Serve(lis); err != nil {
		log.Fatalf("failed to serve: %v", err)
	}
}

client

func main() {
	// Load the client's certificate and private key
	clientCert, err := tls.LoadX509KeyPair("client.crt", "client.key")
	if err != nil {
		log.Fatalf("failed to load client credentials: %v", err)
	}

	// Load the server's CA certificate
	caCert, err := ioutil.ReadFile("ca.crt")
	if err != nil {
		log.Fatalf("failed to load CA certificate: %v", err)
	}
	caCertPool := x509.NewCertPool()
	if ok := caCertPool.AppendCertsFromPEM(caCert); !ok {
		log.Fatalf("failed to append CA certificate to the certificate pool")
	}

	// Create a new TLS configuration with the client's certificate and private key
	tlsConfig := &tls.Config{
		Certificates: []tls.Certificate{clientCert},
		ServerName:   ServerName,
		RootCAs:      caCertPool,
	}

	// Create a new gRPC connection with the TLS transport credential
	clientCreds := credentials.NewTLS(tlsConfig)
	conn, err := grpc.Dial("localhost:12345", grpc.WithTransportCredentials(clientCreds))
	if err != nil {
	}

	// Create a new gRPC client with the connection
	client := NewGreeterClient(conn)
	
	// Send a gRPC request to the server
	resp, err := client.SayHello(context.Background(), &HelloRequest{Name: "Alice"})
	if err != nil {
		log.Fatalf("failed to send request: %v", err)
	}
	
	// Print the server's response
	fmt.Println(resp.Message)
	}

非常好的参考文章:
https://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html

bob62856
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
grpc 实现oauth ssl
10-28
grpc 实现oauth ssl ssl需要证书详情 http://www.jianshu.com/p/f5e1c002047a 使用SSL实现加密通讯
Golang | gRPC】使用TLS/SSL认证的gRPC服务
土豆
07-03 1976
环境: Golang: go1.18.2 windows/amd64 grpc: v1.47.0 protobuf: v1.28.0 OpenSSL: 3.0.4完整代码: https://github.com/WanshanTian/GolangLearning cd GolangLearning/RPC/gRPC-cred支持很多认证机制,如:, ,,同时支持以插件的方式使用自定义的认证机制。 本文主要介绍认证机制的使用【Golang | gRPC】使用gRPC实现简单远程调用 实现了无认证的gRPC
史上最细gRPC(Go)入门教程(四)---数据安全之--通过SSL/TLS建立安全连接
探索云原生
02-21 2594
本文记录了gRPC 中如何通过 TLS 证书建立安全连接,让数据能够加密处理,包括证书制作和CA签名校验等。 1. 概述 gRPC 系列相关代码见 Github gRPC 内置了以下 encryption 机制: 1)SSL / TLS:通过证书进行数据加密; 2)ALTS:Google开发的一种双向身份验证和传输加密系统。 只
「go-zero 系列」gRPC SSL/TLS 单向认证
ronething的博客
12-15 2428
本文主要介绍 gRPC 如何支持 SSL/TLS 单向认证
go grpc 初步体验
flyskyhunter的专栏
10-09 524
       以前在生产做过 java 版本 grpc 应用,服务器是用java 版本,也开发了java-client sdk 版本,主要是使用protobuffer 双向stream 后面本来打算作golang 版本和nodejs版本,由于精力和时间,就没有深入推进了,最近在用golang 作相关开发,作为技术预研,就研究了以下go-grpc。      protobuffer 生成代码最大...
Golang gRPC: 基于CA证书的双向TLS认证
weixin_41335923的博客
04-18 1581
Golang gRPC: 基于CA证书的双向TLS认证
Golang grpc 入门示例
comprel的博客
08-19 1547
grpc支持多种语言, 也支持Golang 安装: 由于无法直接获取对应的包, 因此安装需要费点功夫折腾下 go get -u github.com/golang/protobuf/{proto,protoc-gen-go} # 下载grpc-go git clone https://github.com/grpc/grpc-go.git $GOPATH/src/google.golang.o...
golang-grpc-demo 测试
rio的博客
09-17 938
grpc dome 安装 环境变量添加代理 GO111MODULE=on GOPROXY=https://goproxy.io,direct # 私有仓库不走代理 GOPRIVATE=*.example.com 安装 protobuf go get -u -v github.com/golang/protobuf/proto 测试是否安装成功 protoc --version 安装 protobuf golang 插件 go get -u -v
golang grpc双向认证
07-27
总结起来,golang中实现gRPC双向认证的步骤包括生成证书、配置TLS/SSL、配置双向认证和实现认证逻辑。通过这些步骤,可以确保服务端和客户端之间的通信是安全和可信的。 #### 引用[.reference_title] - *1* [Go Grpc...
GO分布式微服务-GRPC
point_to_line的博客
10-05 858
grpc是什么? grpc 是可以在任何环境中运行的现代开源高性能rpc 框架。它可以通过可插拔的支持来有效地连接数据中心内和跨数据中心的服务,以实现负载平衡,跟踪,运行状况检查和身份验证。grpc基于 HTTP/2 标准设计,带来诸如双向流、流控、头部压缩、单 TCP 连接上的多复用请求等特。这些特性使得其在移动设备上表现更好,更省电和节省空间占用。grpc使用protobuf来定义接口,从而实现更高更安全的接口约束。 protobuf 是什么? protobuf 是一种语言无关、平台无关、可扩展的序列化
go-grpc-2加入证书验证
qq_40530622的博客
11-10 368
安装openssl 如果系统有就不用安装了 下载http://slproweb.com/products/Win32OpenSSL.html 下载后双击安装 openssl genrsa -des3 -out server.key 2048 # 回车后输入4位数字的密码,这里输入的1234 此时当前文件夹下就生成了私钥文件server.key 继续键入 req -new -key server.key -out server.csr # 回车后输入刚才的密码1234 输入国家cn Common N
最全1,2024年最新实现原理分析
最新发布
2401_84904308的博客
05-13 657
RPC是的简称,中文叫远程过程调用,简单的说,就是调用远程方法和调用本地方法一样那么grpc就是由google开发的一个高性能、通用的开源RPC框架gRPC是一种现代开源高性能远程过程调用(RPC)框架,可在任何环境中运行。它可以高效地连接数据中心内的服务,并支持负载平衡、跟踪、健康检查和身份验证等插件功能。它适用于分布式计算的最后一英里,以连接设备、移动应用程序和浏览器到后端服务。公司已使用gRPC连接其环境中的多个服务,从连接少数服务到跨多种语言的数据中心内数百种服务。
golang 实现ca证书,RSA非对称加密解密工具
weixin_38805083的博客
04-22 1185
[golang 实现ca证书,RSA非对称加密解密工具] OpenSSL费时费力,命令不一定正确。用golang代码生成证书,方便快捷。 参考代码如下 /* * Copyright 2014 Jason Woods. * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * You may
golang与java通过自建ca证书进行https双向验证通讯
kidoo1012的博客
04-19 3167
原创文章,转发请注明出处java的keytool、单向验证、https等网上有很多教程,这里不再讲述,本篇文章着重讲述:1、go如何使用openssl生产的证书(crt文件)建立https服务器与客户端进行双向验证2、go如何与java的https服务进行通讯生成证书:第一步、生成根证书:opensslgenrsa -out ca.key 2048 opensslreq -x509 -new -n...
grpc、https、oauth2等认证专栏实战14:grpc单向认证介绍
码二哥的技术池
10-10 839
当前版本,使用postman作为客户端不验证服务器端的证书,这种功能未发现。4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。关于域名设置,本次测试时,grpc服务器端和grpc客户端都在同一个IP下,因为是单向认证,不需要验证客户端的证书,即也就不需要加载客户端的根证书。单向认证时,服务器端的证书,可以使用自签证书,也可以使用非自签证书。2.1、方式一:使用自签证书,作为服务器端的证书。服务器端,只需要加载自己的证书,证书密钥即可。已发表的技术专栏(订阅即可观看所有专栏)
APISIX网关在雪球生产实践
热门推荐
阿拉斯加大闸蟹的博客
01-26 1万+
雪球,聪明的投资者都在这里 - 4300万投资者都在用的投资社区,沪深港美全球市场实时行情,股票基金债券免费资讯,与投资高手实战交流。 背景 雪球为用户提供稳定的投资实时资讯,内部对于沪深港美全球市场实时行情进行了双活改造,其中涉及到架构升级问题,而跨机房的用户鉴权是其中重要的一环。 现有的鉴权方式是通过客户端 SDK 集成,由基础组件完成 RPC 的调用、缓存、解析、处理等一系列的 Token 校验流程。而在双活架构下,跨机房时延的存在使得既有的校验模式,对已有的 SLA 产生重大影响,同时还需升级鉴权模
密码技术--证书及go语言生成自签证书
weixin_38299404的博客
05-28 1103
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。 go语言生成自签证书文件(RSA) package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "enco
通过Go语言创建CA与签发证书
期待幸福
07-01 2088
本篇文章中,将描述如何使用go创建CA,并使用CA签署证书。在使用openssl创建证书时,遵循的步骤是 创建秘钥 > 创建CA > 生成要颁发证书的秘钥 > 使用CA签发证书。这种步骤,那么我们现在就来尝试下。首先,会从将从创建 CA 开始。CA 会被用来签署其他证书 接下来需要对证书生成公钥和私钥 然后生成证书: 我们看到的证书内容是PEM编码后的,现在我们有了生成的证书,我们将其进行 PEM 编码以供以后使用: 创建证书 证书的 与CA的 属性有稍微不同,需要进行一些修改 为该证书创建私钥和公钥
grpc加TLS加密和令牌认证
金庆的专栏
11-26 7105
grpc加TLS加密和令牌认证 (金庆的专栏 2018.11) 用 golang 创建 grpc 服务,开启 TLS 加密,并采用令牌认证。 然后用 C++ 和 golang 分别创建客户端连接服务器。 参考: https://segmentfault.com/a/1190000007933303 服务器 import ( ... grpc_auth "github.com/grpc-ecos...
golang grpc proxy
01-03
golang grpc proxy是一种利用golang语言编写的代理服务器,用于在两个gRPC服务之间进行通信和数据传输。gRPC是一种高性能、开源的远程过程调用(RPC)框架,常用于构建分布式系统和微服务架构。 在实际应用中,如果两个gRPC服务不直接进行通信,而需要经过一个中间层来转发请求和响应,那么就可以使用golang grpc proxy来实现这种需求。golang grpc proxy作为一个中间层代理,可以接收来自客户端的gRPC请求,将其转发到目标gRPC服务,并将目标服务的响应返回给客户端。 通过使用golang grpc proxy,我们可以实现一些高级功能,比如负载均衡、流量控制、认证和授权等。同时,golang语言本身具有性能优越和并发能力强的特点,可以为gRPC代理提供高效稳定的服务。 另外,golang grpc proxy还提供了丰富的插件和中间件机制,可以方便地扩展和定制代理服务器的功能。这使得我们能够根据实际业务需求,定制不同的代理策略,以满足各种复杂的应用场景。 总之,golang grpc proxy为开发者提供了一种高效、灵活和可靠的通信方式,能够帮助我们构建更加稳定和高性能的分布式系统。因此,在面对需要grpc代理的场景下,golang grpc proxy是一个不错的选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值