【Golang | gRPC】使用TLS/SSL认证的gRPC服务

最新推荐文章于 2024-03-09 16:28:26 发布
最新推荐文章于 2024-03-09 16:28:26 发布
阅读量1.9k 收藏
点赞数 2
分类专栏: Golang 文章标签: ssl golang https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42216109/article/details/125582312
版权

环境:
Golang: go1.18.2 windows/amd64
grpc: v1.47.0
protobuf: v1.28.0
OpenSSL: 3.0.4

完整代码:
https://github.com/WanshanTian/GolangLearning
cd GolangLearning/RPC/gRPC-cred

1. 简介

gRPC支持很多认证机制,如:SSL/TLS ALTSToken-based authentication with Google,同时支持以插件的方式使用自定义的认证机制。
本文主要介绍TLS/SSL认证机制的使用

2. 实践

【Golang | gRPC】使用gRPC实现简单远程调用 实现了无认证的gRPC服务,在此基础上添加服务端的单向认证

2.1 生成私钥和证书

关于证书的制作可以参考【Golang | gRPC】使用openssl生成证书

2.1.1 创建RSA私钥

# 生成2048位的RSA私钥
openssl genrsa -out server.key 2048

2.1.2 创建证书请求文件csr

# 创建证书请求文件csr
openssl req -new -key server.key -out server.csr -subj "/CN=shannont.com"

2.1.3 创建SAN证书

1). 首先新建文件server.ext,文件中保存如下内容:

subjectAltName = DNS:*.shannont.com, DNS:shannont.com, DNS:localhost

注:

  • 这里添加localhost的目的是方便本地调试(创建socket监听器时,net.Listen("tcp", ":1234")对应的主机名就是localhost

2). 通过添加选项-extfile创建SAN证书

openssl x509 -req -in server.csr -days 365 -key server.key -out server.crt -extfile server.ext

2.2 服务端

   // 读取证书和私钥,构建TLS credentials
	creds, err := credentials.NewServerTLSFromFile("../cert/server.crt", "../cert/server.key")
	if err != nil {
		log.Panic(err)
	}
	// new一个gRPC服务器,用来注册服务
	grpcserver := grpc.NewServer(grpc.Creds(creds))

2.3 客户端

    // 读取证书,构建TLS credentials
	creds, err := credentials.NewClientTLSFromFile("../cert/server.crt", "")
	if err != nil {
		log.Panic(err)
	}
	conn, err := grpc.Dial(":1234", grpc.WithTransportCredentials(creds))
	if err != nil {
		log.Panic(err)
	}

3. 踩坑

  1. 问题1:
    transport: authentication handshake failed: x509: certificate is not valid for any names, but wanted to match localhost
    原因:
    是由于服务端用的主机名是localhost(对应服务端中的net.Listen("tcp", ":1234")),而证书里没有对应的主机名
    在这里插入图片描述

  2. 问题2:
    如果在CN(Common Name)里填入localhost,会报如下错:
    transport: authentication handshake failed: x509: certificate relies on legacy Common Name field, use SANs instead
    原因:当前gRPC版本的主机名不依赖CN字段,而是要使用SAN

解决方法:
问题1和问题2均通过参考2.1.3小节创建SAN证书解决,SAN证书中查看localhost主机名
在这里插入图片描述

4. 总结

  • 当使用gRPC的TLS/SSL认证机制时,证书是多主机证书(SAN证书)
田土豆
关注
专栏目录
Go微服务五 Go - gRPC 中的TLS认证
太阳上的雨天
03-20 754
介绍 在上一篇中简单介绍了 在go中gRPC使用,但是无签名的认证。这一篇简单介绍生成cert进行TLS认证的调用 代码较上一篇改动不大。包含使用openssl生成ca证书 证书生成流程 新增ca.conf [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = CN countryNam
c++客户端 grpc_grpcTLS加密和令牌认证
weixin_39587238的博客
12-21 990
grpcTLS加密和令牌认证(金庆的专栏 2018.11)用 golang 创建 grpc 服务,开启 TLS 加密,并采用令牌认证。然后用 C++ 和 golang 分别创建客户端连接服务器。参考:https://segmentfault.com/a/1190000007933303服务器import (...grpc_auth "github.com/grpc-ecosystem/go-gr...
golang工程组件篇:高性能RPC框架gRPCTLS双向TLS确保通讯安全
SMILY12138的博客
05-24 627
上述代码中,我们使用credentials.NewClientTLSFromFile()方法创建了一个客户端TLS凭证对象,并将其作为grpc.WithTransportCredentials()选项传递给grpc.Dial()方法。上述代码中,我们使用credentials.NewClientTLSFromFile()方法创建了一个客户端TLS凭证对象,并将其作为grpc.WithTransportCredentials()选项传递给grpc.Dial()方法。第一步是生成证书和私钥文件,与TLS相同。
golang grpc ssl
bob的博客
02-24 462
golang grpc ssl
golang工程——grpc TLS配置
qq_43058348的博客
09-27 490
至此加密通信所用的秘钥都已生成,在此之前都是明文发送。客户端通知服务器启用加密通信并加密发送之前所发信息的摘要,服务器也做一样的事,用于验证加密通信是否可行。发送的两个消息分别是“Change Cipher Spec”和“Finished”。之后就可使用加密的Http请求和响应。上述方式验证了服务器的安全性,而服务器验证客户端可用更多方式,比如账号密码,此时已经达到了加密通信的标准。更深层次的客户端验证,也可Client Hello中出示客户端证书,用以验证。可以理解成多一个反过来的流程,双方对等。
史上最细gRPC(Go)入门教程(四)---数据安全之--通过SSL/TLS建立安全连接
探索云原生
02-21 2622
本文记录了gRPC 中如何通过 TLS 证书建立安全连接,让数据能够加密处理,包括证书制作和CA签名校验等。 1. 概述 gRPC 系列相关代码见 Github gRPC 内置了以下 encryption 机制: 1)SSL / TLS:通过证书进行数据加密; 2)ALTS:Google开发的一种双向身份验证和传输加密系统。 只
Golang gRPC: 基于CA证书的双向TLS认证
weixin_41335923的博客
04-18 1585
Golang gRPC: 基于CA证书的双向TLS认证
GRPCSSL安全实现
m0_46083365的博客
03-04 1620
1.利用openssl生成密钥 #!/bin/sh openssl genrsa -out server.key 2048 openssl req -new -x509 -days 3650 \ -subj "/C=GB/L=China/O=grpc-server/CN=localhost" \ -key server.key -out server.crt openssl g...
golang-grpc-demo 测试
rio的博客
09-17 942
grpc dome 安装 环境变量添加代理 GO111MODULE=on GOPROXY=https://goproxy.io,direct # 私有仓库不走代理 GOPRIVATE=*.example.com 安装 protobuf go get -u -v github.com/golang/protobuf/proto 测试是否安装成功 protoc --version 安装 protobuf golang 插件 go get -u -v
gRPC TLS 证书认证
EDDYCJY的博客
09-23 954
前言在前面的章节里,我们介绍了 gRPC 的四种 API 使用方式。是不是很简单呢 ????此时存在一个安全问题,先前的例子中 gRPC Client/Server 都是明文传...
grpc 实现oauth ssl
10-28
grpc 实现oauth ssl ssl需要证书详情 http://www.jianshu.com/p/f5e1c002047a 使用SSL实现加密通讯
grpchttps、oauth2等认证专栏实战14:grpc单向认证介绍
码二哥的技术池
10-10 843
当前版本,使用postman作为客户端不验证服务器端的证书,这种功能未发现。4  grpc、oauth2、openssl双向认证、单向认证等专栏文章目录。关于域名设置,本次测试时,grpc服务器端和grpc客户端都在同一个IP下,因为是单向认证,不需要验证客户端的证书,即也就不需要加载客户端的根证书。单向认证时,服务器端的证书,可以使用自签证书,也可以使用非自签证书。2.1、方式一:使用自签证书,作为服务器端的证书。服务器端,只需要加载自己的证书,证书密钥即可。已发表的技术专栏(订阅即可观看所有专栏)
grpc ssl使用
weixin_30445169的博客
05-04 445
相关链接 http://www.jianshu.com/p/2873a8349ca0 转载于:https://www.cnblogs.com/freedommovie/p/6810301.html
gRPCSSL/TLS单向认证双向认证、Token认证
最新发布
qq_56639722的博客
03-09 2504
传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥和一个公有密钥。
gRPC使用SSL实现加密通讯
万里归来少年心
03-19 6986
grpc默认实现了基于证书的SSL加密通讯,使用中需要注意以下事项。 在Windows上开发,首先安装 OpenSSL,将OpenSSL.exe的路径添加到环境变量中。 通过以下样例脚本生成通讯中所需要的服务端和客户端证书,其中需要特别注意的是,Generate server signing reques中的CN=KEKYK字段,如果是本机测试,使用本机名称。如果是真实环境,使用...
gRPCSSL/TLS 加密认证
qq_46457076的博客
02-16 1806
关于 gRPCSSL/TLS 加密认证介绍!
gRpc中的TLS验证
向宪章的博客
06-07 2163
/*-=权认证 gRpc中默认支持两种授权,SSL/TLS认证方式、基于Token的认证方式 1.1 SSL/TLS认证方式 SSL全称是Secure Sockets Layer,又被称之为安全套接字层,是一种标准安全协议,用于在通信过程中建立客户端与服务器之间的加密连接。 TLS的全称是Transport Layer Security,TLSSSL的升级版本。在使用额过程中,往往习惯于将SSLTLS组合在一起,统称为SSL/TLS。 简而言之,SSL/TLS是一种用于网络通信中加密的安全协议。 1.2
Golang | Go RPC & TLS 鉴权
雨下一整晚real的博客
12-29 1123
RPC () 是一种远程通信协议,用于让不同服务之间进行通信。相比 HTTP,RPC 在传输信息时会减少一些额外的信息。HTTP 是实现 RPC 的一种手段,RPC 常见的实现有很多,比如 Dubbo、gRPC、Hessian 等。远程过程调用,实际上最终是一个调用。相比于本地调用,RPC 还需要知道对向的地址信息。本地调用就如同两个人面对面交流,RPC 则像是两个人打电话,需要知道对方的手机号码,但是并不关心语音怎么编码、传输、解码的过程。提供服务的一端,我们称为服务端,就好比是接听电话的一端。
gRPC SSL/TLS双向认证--SSL/TLS 工作原理
学习————
10-20 2319
一、SSL/TLS 介绍 什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLSSSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

田土豆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值