【Golang | gRPC】使用openssl生成证书

已于 2022-07-02 23:00:56 修改
阅读量1.5k 收藏 5
点赞数
分类专栏: Golang 文章标签: 服务器 bash 运维
于 2022-07-02 12:14:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42216109/article/details/125564402
版权

环境:
OpenSSL:3.0.4

1. 密钥

1.1 创建RSA私钥

使用openssl genrsa

# 生成1024位私钥,输出到控制台
openssl genrsa 1024

# 生成2048位私钥,保存到server.key文件中
openssl genrsa -out server.key 2048

# 生成2048位带加密的私钥(交互方式输入密码),保存到server_passphrase.key文件中
openssl genrsa -out server_passphrase.key -des3 2048
  • -out: 将私钥输出到指定文件,如不加则输出到控制台
  • 2048: 生成2048位的私钥
  • -des3: 生成加密私钥

1.2 使用RSA私钥生成公钥

# 如果是加密私钥,需要交互输入私钥密码
openssl rsa -in server.key -pubout -out server_public.key
  • -in: 导入私钥文件
  • -pubout: 输出公钥
  • -out: 将输出公钥保存到指定文件里

1.3 查看密钥

1.3.1 查看私钥

openssl rsa -in server.key -text

1.3.2 查看公钥

openssl rsa  -RSAPublicKey_in -in server_public.key -text

在这里插入图片描述

2. 证书请求文件

有了私钥后,就可以创建Certificate Signing Request(csr,证书请求文件)。使用私钥对csr进行sign(签名),同时csr中包含与私钥对应的公钥

2.1 使用已有的私钥创建csr

2.1.1 使用交互模式

使用openssl req

# 使用私钥server.key以交互模式生成csr,
openssl req -new -key server.key -out server.csr
  • 一般来说,交互时直接敲enter就行,表示使用默认值;如果想某些字段为空,可以输入.再敲enter
  • -new: 生成新的csr
  • -key: 使用指定的私钥用于签名,同时csr会包含私钥对应的公钥
  • -out: 将生成的csr保存到指定文件中

2.1.2 使用配置文件

新建配置文件csr.cnf

[req]
prompt = no
distinguished_name = dn
req_extensions = ext
input_password = tian   # 加密私钥的密码

[dn]
CN = www.shannont.com # Common Name 公用名称
emailAddress = wanshantian@shannont.com
O = shannont     # Organization 组织
L = NJ              # Locality 所在地
C = CN                  # Country 国家,如中国:CN

[ext]
subjectAltName = DNS:www.shannont.com,DNS:shannont.com,DNS:localhost

补充:

  • http://www.sina.com.cn/为例,http是通信使用的协议,sina.com.cn是域名,www是提供服务的机器的名字(服务器名),服务器名+域名才是主机名,即www.sina.com.cn是主机名
  • subjectAltName(X.509拓展之SAN),如果只使用CN,那么一个证书通常只对应一个主机名,如果要使用多主机名的证书,通过subjectAltName进行配置,一般来说,主机名最少包含两种,一个带www.的,一个不带;也可以使用通配符的方式,比如shannont.com*.shannont.com

使用配置文件生成csr

openssl req -new -config csr.cnf -key server.key -out server2.csr
  • -config: 指定使用的配置文件

2.2 查看csr的内容

openssl req -in server.csr -text -noout

在这里插入图片描述

  • csr中包含公钥,签名以及之前交互时输入值为非空的字段等
  • 当前版本摘要算法默认是sha256
  • -text: 输出csr的文本形式
  • -noout: 不输出-----BEGIN CERTIFICATE REQUEST-----...-----END CERTIFICATE REQUEST-----之间的内容

3. 证书

3.1 自签名证书

有了csr后,不一定要去向CA申请一个证书,大多时候开发阶段为了自测可以申请一个自签名的证书(就是使用自己的私钥来给证书签名)

3.1.1 使用csr生成证书

使用openssl x509命令

# 如果签名用的是加密私钥需要交互输入私钥密码
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
  • x509: X.509 是密码学里公钥证书的格式标准
  • -req: 指明输入的文件是csr
  • -days: 证书的有效时长
  • -in: 输入的文件
  • -signkey: 等同于-key,指明签名用的私钥

3.1.2 使用私钥直接生成证书

# 交互模式,需要输入国家,组织,所在地等一些字段值,如果是加密私钥,还要输入私钥密码
openssl req -new -x509 -days 365 -key server.key -out server2.crt

# 使用上文csr的配置文件直接生成证书
openssl req -new -x509 -days 365 -key server.key -config csr.cnf -out server3.crt

# 使用-subj选项指定国家,组织,所在地等一些字段值,如果是加密私钥,还要输入私钥密码
openssl req -new -x509 -days 365 -key server.key -out server4.crt -subj "/C=CN/L=ShangHai"

3.1.3 生成多主机名证书(SAN证书)

首先新建文件server.ext,在文件中输入subjectAltName = DNS:*.shannont.com, DNS:shannont.com, DNS:localhost,然后通过openssl x509 ... -extfile server.ext创建证书

openssl x509 -req -days 365 -in server.csr -key server.key -out server.crt -extfile server.ext

3.2 查看证书

证书中关于公钥的部分正好等同于1.3.2节中公钥的内容

 openssl x509 -text -in server.crt -noout

在这里插入图片描述

3.3 检查证书

使用openssl s_server创建一个server,默认端口是4433,导入证书和私钥

openssl s_server -cert server.crt -key server.key -www

打开浏览器,输入https://127.0.0.1:4433,得到如下,需要手动信任
在这里插入图片描述

田土豆
关注
专栏目录
grpc、https、oauth2等认证专栏实战14:grpc单向认证介绍
码二哥的技术池
10-10 842
当前版本,使用postman作为客户端不验证服务器端的证书,这种功能未发现。4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。关于域名设置,本次测试时,grpc服务器端和grpc客户端都在同一个IP下,因为是单向认证,不需要验证客户端的证书,即也就不需要加载客户端的根证书。单向认证时,服务器端的证书,可以使用自签证书,也可以使用非自签证书。2.1、方式一:使用自签证书,作为服务器端的证书服务器端,只需要加载自己的证书证书密钥即可。已发表的技术专栏(订阅即可观看所有专栏)
grpc中TLS认证证书问题
qq_28356505的博客
10-18 7718
grpc TLS证书问题场景:问题:Error 1Error 2解决方法:项目目录:证书生成:1.ca根证书生成:2.server证书生成:服务端与客户端中TLS认证:1.服务端:2.客户端: 场景: 参考gorpc实例进行grpc的TLS验证时出现问题,解决办法参考openssl 证书生成笔记(go 1.15版本以上) 问题: Error 1 报错:rpc error: code = Unavailable desc = connection error: desc = “transport: authe
go-openssl是一个小型库,以输出兼容OpenSSL的方式包装crypto / aes函数-Golang开发
05-26
go-openssl是一个小型库,其中封装crypto / aes函数,使其输出与OpenSSL / CryptoJS兼容。 对于所有加密/解密过程,都使用AES256,因此该库将无法解密使用openssl aes-256-cbc以外的其他方式生成的消息。 如果您使用CryptoJS处理数据,则还需要在那一侧使用AES256。 Luzifer / go-openssl go-openssl是一个小型库,其中封装了crypto / aes函数,其输出与OpenSSL / CryptoJS兼容。 对于所有加密/解密过程,都使用AES256,因此该库将无法解密使用openssl aes-256-cbc以外的其他方式生成的消息。 如果您使用CryptoJS处理数据,则还需要在那一侧使用AES256。 版本支持对于此库,仅支持最新的主要版本。 所有以前的主要版本都不应
使用golang生成证书
yevvzi的博客
01-11 4830
在k8s的源码里看的,记录一下 package main import ( "bytes" cryptorand "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "fmt" "math/big" "net" "time" ) func main() { ip := []
**推荐使用Luzifer/go-openssl:一款与OpenSSL兼容的AES加密库**
最新发布
gitblog_00087的博客
06-23 424
推荐使用Luzifer/go-openssl:一款与OpenSSL兼容的AES加密库 go-opensslgo-openssl is a small library wrapping the crypto/aes functions in a way the output is compatible to OpenSSL项目地址:https://gitcode.com/gh_mirrors/go...
golanggRPC 证书认证
朱金拖的专栏
07-06 1349
《GO语言高级编程》设计中案例,仅作为笔记进行收藏。gRPC建⽴在HTTP/2协议之上,对TLS提供了很好的⽀持。客户端在链接服务器中通过 grpc.WithInsecure() 选项跳过了对服务器证书的验证,没有启⽤证书gRPC服务在和客户端进⾏的是明⽂通讯,信息⾯临被任何第三⽅监听的⻛险。为了保障gRPC通信不被第三⽅监听篡改或伪造,可以对服务器启动TLS加密特性。 1.结构目录 2.为服务器和客户端分别生成私钥和证书,存放在 tls-config/ 目录下,命令如下: // Makefi
golang实现php中的`OPENSSL_ALGO_MD5`
hugoall的博客
11-01 891
golang实现php中的OPENSSL_ALGO_MD5 问题描述: php中的 openssl_sign OPENSSL_ALGO_MD5 用go如何实现:如下 php /**RSA签名 * $data签名数据(需要先排序,然后拼接) * 签名用商户私钥,必须是没有经过pkcs8转换的私钥 * 最后的签名,需要用base64编码 * return Sign签名 */ function Rsasign($data,$priKey) { //转换为openssl密钥,必须是没有经过p
使用openssl解密des-ede3(go语言)
JTao539的博客
08-10 943
使用openssl解密des-ede3(go语言) 项目场景: 需解密数据库中通过des-ede3加密的字符串 解决方案: 通过查找资料找到如下工具: https://github.com/spacemonkeygo/openssl 附代码: func decodeDesEDE3(original string, key []byte) string { iv := []byte(nil) cipher, err := GetCipherByNid(NID_des_ede3) if err !=
golang grpc双向认证
07-27
可以使用openssl或其他工具来生成证书和私钥。 2. 配置TLS/SSL:服务端和客户端都需要配置TLS/SSL来启用加密通信。服务端需要加载证书和私钥,而客户端需要加载服务端的证书用于验证服务端身份。 3. 配置双向认证:...
gRPC】来聊一聊gRPC的认证
m0_37322399的博客
05-27 926
文章目录gRPC认证认证方式**gRPC消息传输的四种类型**SSL/TLS认证方式**那么什么是SSL/TLS?****那么HTTP 2 默认就有加密吗?****HTTP 2 有啥特性?****SSL/TLS加密的基本做法是啥?****SSL/TLS协议提供啥服务呢?****SSL/TLS协议提供的安全通道有哪些特性呢?**必要环境搭建OpenSSL安装TLS证书制作一个DEMO基于Token的认证方式又一个DEMO gRPC认证 我们再来回顾一下gRPC的基本结构 gRPC 是一个典型的C/S模型,需要
grpc 加密传输 golang服务端 python客户端 最简单方法
lucyTheSlayer的博客
10-23 1061
场景:golang作为服务端,python作为客户端,grpc的加密传输 试了网上很多的方法,有带ca的有不带的,天花乱坠头都晕了。最烦躁的是网上服务器和客户端都是同一语言的,试了下都不怎么灵光。纠结了不少时间后,终于试出一套最简单的能调通的方案。 本方案不使用ca,因此不够高大上,但对于一般应用的安全需求应该是没问题了。 第一步:生成证书 在安装了openssl的linux系统上,...
elliptic:在 Go 中使用 OpenSSL 的椭圆曲线加密
06-22
椭圆形 在 Go 中使用 OpenSSL 的椭圆曲线加密。 这是 yann2192 在 Go 中的 pylliptic 实现。
openssl:Go的OpenSSL绑定
02-03
Go的OpenSSL绑定 请参阅了解更多信息 执照 版权所有(C)2017。请参阅作者。 根据Apache许可版本2.0(“许可”)许可; 除非遵守许可,否则不得使用此文件。 您可以在以下位置获得许可的副本: 除非适用法律要求或以书面形式同意,否则根据“许可”分发的软件将按“原样”分发,而没有任何明示或暗示的保证或条件。 有关许可下特定的语言管理权限和限制,请参阅许可。 在macOS上使用 安装 $ brew install openssl或$ brew install openssl@1.1 在Windows上使用 安装 安装 为mingw32-w64构建(或安装预编译)openssl 将PKG_CONFIG_PATH设置到包含openssl.pc的目录(即c:\ mingw64 \ mingw64 \ lib \ pkgconfig)
Go-用于自动获取证书LetsEncryptSSL证书Golang
08-14
用于自动获取证书LetsEncrypt SSL证书Golang
gRPC之SAN证书生成
YIYIYI
12-12 793
gRPC之SAN证书生成
GRPC开发(4)-grpc服务开发-创建证书
Salted fish in hand, I have the world.
07-09 781
ca.key 生成CA自己的私钥 rootCA.key # openssl genrsa -out ca.key 2048 ca.crt 根据CA自己的私钥生成自签发的数字证书,该证书里包含CA自己的公钥。 rootCA.pem # openssl req -x509 -new -nodes -key ca.key -subj "/CN=grpcpro1.com" -days 5000 -ou...
golang与php的openssl_encrypt加解密
伊凡
11-10 1797
golang与php的openssl_encrypt加解密
golang实现openssl自签名双向认证
赴前尘
03-03 823
golang实现openssl自签名双向认证
密码技术--证书及go语言生成自签证书
weixin_38299404的博客
05-28 1106
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。 go语言生成自签证书文件(RSA) package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "enco
GolangGRPC教程
09-15
### 回答1: 很高兴为您提供帮助!关于Go语言中的GRPC教程,您可以参考Go官方文档中的GRPC教程:https://grpc.io/docs/tutorials/basic/go/,也可以参考GitHub上的一些开源项目,如https://github.com/grpc/grpc-go。 ### 回答2: GolangGRPC教程是关于如何使用Google开发的gRPC框架来构建高效的分布式系统的指南。GRPC是一种远程过程调用(RPC)框架,主要用于在客户端和服务器之间进行通信。 GolangGRPC教程首先介绍了GRPC的基本概念和原理,例如客户端和服务器之间的通信方式以及如何定义服务和消息。然后,教程详细介绍了如何在Golang中安装和配置GRPC的软件开发工具包,并提供了一些示例代码来说明如何创建GRPC服务器和客户端。 接下来,教程会教你如何使用protobuf(Protocol Buffers)作为GRPC的数据格式,protobuf是一种轻量级且语言无关的数据序列化机制。你将学会如何定义消息和服务接口,以及如何使用protobuf生成Golang的代码。 在教程的后半部分,你将学习如何使用GRPC的不同功能,如流式传输、服务器端流式和客户端流式,以及双向流式。这些功能可以让你更灵活地设计和实现你的分布式系统。 此外,教程还涉及了如何使用拦截器(interceptors)来实现自定义的认证、日志记录和错误处理等功能。你将了解如何在GRPC中实现服务端和客户端的拦截器,并掌握如何在应用程序中使用它们。 最后,教程还会介绍一些关于GRPC的最佳实践,例如如何处理错误、优化性能和处理并发等问题。这些实践可以帮助你在开发和维护GRPC应用程序时更高效和可靠。 总之,GolangGRPC教程提供了一种简单且强大的方式来构建分布式系统,并为你提供了充足的示例代码和实践经验来帮助你理解和应用GRPC框架。无论是初学者还是有经验的开发者,都能受益于这个教程。 ### 回答3: GolangGRPC教程是介绍Go语言中的GRPC框架的教程。GRPC是一种高性能、开源的远程过程调用(RPC)框架,支持多种编程语言,包括Go语言。 在GRPC教程中,首先会介绍GRPC的基本概念和架构。GRPC使用Protocol Buffers(简称Protobuf)作为接口定义语言(IDL),用于定义服务接口和消息格式。它提供了强类型的接口定义和支持多种语言的代码生成工具。通过IDL的定义,可以自动生成客户端和服务器端代码,大大简化了跨服务通信的开发工作。 接下来的教程将详细介绍如何使用GRPC构建客户端和服务器端。通过定义GRPC服务的接口和消息格式,可以方便地在不同的服务之间进行通信。教程会演示如何编写服务器端代码,实现服务接口的具体逻辑,并将其注册到GRPC框架中。同时,还会演示如何编写客户端代码,通过GRPC调用服务器端提供的服务,并处理返回的结果。 GRPC教程还会介绍一些高级特性,例如流式处理、认证和安全性等。流式处理支持客户端流、服务器端流和双向流,可以实现更复杂的通信模式。认证和安全性可以通过TLS/SSL等机制来保护通信的安全性。 在学习GRPC教程时,你将会了解到GRPC的优势和如何使用GRPC来构建可扩展和高性能的分布式系统。通过GRPC,你可以轻松地实现跨语言的服务调用,并利用其丰富的特性来满足不同的业务需求。 总之,GolangGRPC教程是一个很好的学习资源,能够帮助你掌握GRPC框架的基本概念和使用方法,并在实际项目中应用它来构建高效可靠的分布式系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

田土豆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值