GO 1.15 以上版本解决GRPC X509 Common Name field, use SANs or temporarily enable Common Name matching

最新推荐文章于 2024-09-03 15:49:38 发布
最新推荐文章于 2024-09-03 15:49:38 发布
阅读量1.4w 收藏 8
点赞数 8
CC 4.0 BY-SA版权
分类专栏: GO 文章标签: go语言 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuichenghd/article/details/109230584
本文介绍了在Go 1.15.1版本中,由于X509证书的改变导致的问题以及如何生成SAN证书以适应GRPC通信。步骤包括:安装OPENSSL,生成key、ca.crt、csr,配置openssl.cfg,添加DNS条目,生成证书私钥和CSR,最后签名认证并生成SAN证书。在Go中,服务器和客户端加载证书的代码也一并给出。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这几天在弄GO 语言 然后现在1.15.1版本  ,由于需要用到GRPC 所以就开始写代码 然后就碰到x509: certificate relies on legacy Common Name field

然后发现是GO1.15   X509 被砍了(不能用了) ,需要用到SAN证书,下面就介绍一下SAN证书生成

1:首先你的有OPENSSL,网上下载一个自己安装就可以了,

2:生成普通的key:     openssl genrsa -des3 -out server.key 2048     (记住你的密码以后需要用到,别忘了!!!)

3:生成ca的crt: openssl req -new -x509 -key server.key -out ca.crt -days 3650

4:生成csr:openssl req -new -key server.key -out server.csr 

以上就是基础,然后通过更改openssl.cfg(我是windos ,Linux是openssl.cnf)

1:把openssl.cfg 拷贝到当前目录(main.go 的目录就行)

2:找到 [ CA_default ],打开 copy_extensions = copy

3:找到[ req ],打开 req_extensions = v3_req # The extensions to add to a certificate request

4:找到[ v3_req ],添加 subjectAltName = @alt_names

5:添加新的标签 [ alt_names ] , 和标签字段  

DNS.1 = *.org.haha.com
DNS.2 = *.haha.com

6:生成证书私钥test.key:

  openssl genpkey -algorithm RSA -out test.key

7:通过私钥test.key生成证书请求文件test.csr:

openssl req -new -nodes -key test.key -out test.csr -days 3650 -subj "/C=cn/OU=myorg/O=mycomp/CN=myname" -config ./openssl.cfg -extensions v3_req

8:test.csr是上面生成的证书请求文件。ca.crt/server.key是CA证书文件和key,用来对test.csr进行签名认证。这两个文件在第一部分生成。

9:生成SAN证书:

openssl x509 -req -days 365 -in test.csr -out test.pem -CA ca.crt -CAkey server.key -CAcreateserial -extfile ./openssl.cfg -extensions v3_req

10:然后就可以用在 GO 1.15 以上版本的GRPC通信了,服务器加载代码:

creds, err := credentials.NewServerTLSFromFile("test.pem", "test.key")

11:客户端加载代码

creds,err := credentials.NewClientTLSFromFile("test.pem","*.org.haha.com")
use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0
weixin_40280629的博客
02-02 6690
问题: 最近在golang 1.15+版本上,用 gRPC通过TLS实现数据传输加密时,遇到了一个问题: 原文: 2021/02/02 16:17:04 Call Route err: rpc error: code = Unavailable desc = connection error: desc = "transport: authentication field, use SANs or temporarily enable Common Name matching with GOD..
go-grpc TSL认证 解决 transport: authentication handshake failed: x509 certificate relies on ... ...
scarificed的博客
08-05 3908
go-grpc TSL认证 解决 transport: authentication handshake failed: x509 certificate relies on... ... go-grpc基础通信上加上TSL认证
verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
热门推荐
weixin_46660849的博客
11-14 9万+
使用自签名的ssl证书遇到如下问题: tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
docker login失败 x509: certificate relies on legacy common name field use sans instead
duoyasong5907的博客
01-04 2390
解决办法是在daemon.json把仓库域名加入。
docker login harbor出现错误信息x509: certificate relies on legacy Common Name field, use SANs instead
青春不流名
12-06 5591
x509: certificate relies on legacy Common Name field, use SANs instead参考文档配置证书:Harbor docs | Configure HTTPS Access to Harbor (goharbor.io)
gRPC,爆赞
AlwaysBeta 的专栏
10-12 433
原文链接: gRPC,爆赞 gRPC 这项技术真是太棒了,接口约束严格,性能还高,在 k8s 和很多微服务框架中都有应用。 作为一名程序员,学就对了。 之前用 Python 写过一些 gRPC 服务,现在准备用 Go 来感受一下原汁原味的 gRPC 程序开发。 本文的特点是直接用代码说话,通过开箱即用的完整代码,来介绍 gRPC 的各种使用方法。 代码已经上传到 GitHub,下面正式开始。 介绍 gRPCGoogle 公司基于 Protobuf 开发的跨语言的开源 RPC 框架。gRPC 基于 HT
Harbor使用HTTPS访问
qq_39698849的博客
07-29 418
说明:本脚本只创建密钥,脚本是借鉴所有各个大神,自己重新书写一份,官方的已经写的狠清楚了,直接粘贴过来变一些变量就可以了,如有不对,欢迎指正。 #!/binsh # Date: 2021/6/25 # Author: # Desc: # Harbor:v2.2.1 # The created key cannot be stored in the harbor storage path, because executing ./prepare will clear the data in the pa
Harbor配置https
zlyGOGOGO的博客
08-10 1319
harbor是不附带任何证书的,因此默认情况下使用http来进行访问 K8S在使用harbor作为私有仓库时或生产环境下强烈建议使用https 生成证书 生产环境下,需要从CA获取证书,测试或者开发可以使用OpenSSL自己生成证书 生成私钥 # 创建证书的存储目录 mkdir /home/ssl cd /home/ssl openssl genrsa -out ca.key 4096 生成证书 openssl req -x509 -new -nodes -sha512 -days 36
配置harbor的https
weixin_42709585的博客
02-25 330
配置harbor的https 为什么要配置https? 因为后续你将镜像打包好放入到harbor仓库中,若是生产环境的镜像,会包含很多隐私的配置文件(db,redis等),需要用到https进行加密 参考文档:https://github.com/goharbor/harbor/blob/master/docs/configure_https.md 下载:https://github.com/goharbor/harbor/releases 下载:docker-composehttps://docs
harbor配置https访问
wenbo885的博客
11-04 2371
docker版本:23.0.1harbor版本:v2.6.4虚拟机:192.168.66.100本次笔记主要记录harbor配置SSL,docker,harbor部署不在重点讲述,不会可自行百度。SSL证书主要是通过openssl生成,也可以通过阿里云或者腾讯云购买证书等。默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有连接到外部Internet的气隙测试或开发环境中,才可以使用HTTP。
Harbor 配置 HTTPS
NRGAGA的专栏
02-28 1000
网上搜了各种文章,都是复制粘贴文,一堆垃圾,艹。卡了我两天时间,做梦都在想这个问题。 直到搜到这个视频:~~~~【太感谢了!】 https://www.bilibili.com/video/av78680852?from=search&seid=7453365095864101582 视频里操作流程是按照下面的官方文档走的: https://github.com/goharbor/...
Day01-harbor仓库的https部署,kubernetes集群架构,部署方式及基于kubeadm快速构建集群实战
苦难带不走梦想
07-19 1414
2013年docker开源。2014年Google关注了docker,容器编排工具Kubernetes(简称K8S)。- 可以原生支持docker编排,解决docker编排问题- 以集群方式工作;2014-03:2014-06: 发布版本... k8s采用Golang语言研发。2014 ---> K8S ----> CNCF组织。2017.12 ----> 白热化 ----> Google 占用市场70% + docker swarm 不足20% + 其他编排工具....
Harbor配置HTTPS访问
qq_37193972的博客
08-16 1185
无论使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映域。生成后ca.crt,yourdomain.com.crt和yourdomain.com.key文件,必须将它们提供给Harbor和docker,重新配置它们。将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书。
Harbor 部署https协议
最新发布
weixin_39041354的博客
09-03 669
https://172.30.10.48 或者 https://yourdomain.com 可以访问harbor 管理页面 ,如果使用https://yourdomain.com 登录,需要dns添加主机域名信息;9、执行复制命令,将证书复制到/data/cert下(域名改成自己上面改的)7、使用v3.ext文件生成你harbor主机密钥(域名改成自己上面改的)10、为docker生成对应的证书给它使用(域名改成自己上面改的)6、生成X509 v3的密钥文件(域名改成自己上面改的)
harbor安装并配置https
IT
07-22 1万+
Harbor 是一个VMware公司开源的镜像仓库,它使用策略和基于角色的访问控制来保护工件,确保镜像被扫描并且没有漏洞,并将镜像标记为可信。Harbor 是一个 CNCF 毕业项目,它提供合规性、性能和互操作性,以帮助您跨云原生计算平台(如 Kubernetes 和 Docker)一致且安全地管理工件。Habor在Docker Registry上进行了相应的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基于角色的访问控制 ,AD/LDAP集成以及审计日志等。
【Harbor Https】Harbor部署https并配置containerd拉取镜像
你的博客
12-08 3180
新项目,要接手另一个k8s集群,那个集群是kubernates1.24的rke2版本,里面已经不用docker容器了,使用了containerd容器来生成pod,因此需要变化我们以前的docker使用方式。containerd的镜像仓库配置地址在 /etc/rancher/rke2/registries.yaml,修改该文件,将harbor地址,证书配置进去,具体的配置参数和方法可以参考官方文档。修改harbor.yml的https配置,这里我修改了默认端口为1443,并引入服务端证书。
配置对 Harbor 的 HTTPS 访问
琦彦
11-12 7299
默认情况下,Harbor 不附带证书。可以在没有安全性的情况下部署 Harbor,以便你可以通过 HTTP 连接到它。但是,在生产环境中,建议使用 HTTPS。如果你要使用Content Trust with Notary ,则必须使用 HTTPS。要配置 HTTPS,你必须创建 SSL 证书。你可以使用由受信任的第三方 CA 签名的证书,也可以使用自签名证书。本节介绍如何使用创建 CA,以及如何使用你的 CA 签署服务器证书和客户端证书。你也可以使用其他 CA 提供程序,例如。
部署harbor并实现https(SAN签发证书)
soliso
11-09 3450
部署harbor
Harbor私有仓库部署与配置-https
lldhsds的专栏
06-27 1809
Harbor 是一个开源的云原生镜像仓库,用于存储和分发容器镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。本文用https+自签名证书部署。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值