【gRPC】自签CA、服务端和客户端双向认证

置顶 已于 2022-05-25 13:59:27 修改
阅读量2.3k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Go # gRPC 文章标签: grpc go tls ca
于 2022-04-22 22:19:33 首次发布
转载注明出处即可,谢谢!
本文链接:https://blog.csdn.net/dl962454/article/details/124350199
本文详细介绍了如何使用openssl生成CA根证书、服务端证书和客户端证书,实现gRPC的双向TLS认证。通过修改服务端和客户端代码,配置证书和验证策略,确保了客户端和服务端之间的安全通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

在上一篇文章Protobuf中间文件介绍、使用、Go新版本TLS证书认证问题中,我们简单使用了grpc的单项认证,客户端和服务端使用的证书都是由ca证书签发给服务端的,在本文中,我们进行双向的认证,利用ca证书给客户端和服务端都签发一份证书,服务端会验证客户端的证书,同时客户端也会验证服务端的证书。

一、双向认证

1.1 CA根证书生成

在openssl的bin目录下新建一个配置文件ca.conf,文件内容如下:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName                = Locality Name (eg, city)
localityName_default        = Chengdu
organizationName            = Organization Name (eg, company)
organizationName_default    = Step
commonName                  = CommonName (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = tonghua

依次执行下面的命令,执行过程中遇到的填写国家之类的直接Enter跳过,选择配置文件中默认的,从而生成CA私钥(ca.key)签名请求(ca.csr)签名证书(ca.crt)

openssl genrsa -out ca.key 2048
openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf
openssl x509 -req -days 3650 -in ca.csr signkey ca.key out ca.crt //这地方的输出可以改写成ca.pem,改写后后面命令中也要同步

1.2 签发服务端证书

接下来创建服务端配置文件server.conf,文件内容如下:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName                = Locality Name (eg, city)
localityName_default        = Chengdu
organizationName            = Organization Name (eg, company)
organizationName_default    = Step
commonName                  = CommonName (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = tonghua
[ req_ext ]
# 添加subjectAltName 
subjectAltName = @alt_names
# 文件末尾添加. www.p-pp.cn代表允许的ServerName,自己随便写
[alt_names]
DNS.1   = www.p-pp.cn
IP      = 127.0.0.1

同样,使用上面得到的CA根证书(ca.crt)签发服务端证书,依次执行下面命令生成服务端的密钥、签名请求和签名证书:

// 服务端私钥
openssl genrsa -out server.key 2048
//服务端签名请求
openssl req -new -sha256 -out server.csr -key server.key -config server.conf
//用根证书签发服务端证书server.pem
openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf

1.3 签发客户端证书

建立配置文件client.conf

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName                = Locality Name (eg, city)
localityName_default        = Chengdu
organizationName            = Organization Name (eg, company)
organizationName_default    = Step
commonName                  = CommonName (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = tonghua
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1   = www.p-pp.cn
IP      = 127.0.0.1

执行下面命令生成客户端密钥、证书等:

openssl ecparam -genkey -name secp384r1 -out client.key
openssl req -new -sha256 -out client.csr -key client.key -config client.conf
openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.pem -extensions req_ext -extfile client.conf

1.4 服务端代码改写

服务端改写,首先拷贝ca.pemserver.keyserver.pem到服务端项目中,改写代码:

package main

import (
	"crypto/tls"
	"crypto/x509"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"grpcpro/services"
	"io/ioutil"
	"log"
	"net"
)
const (
	// Address gRPC服务地址
	Address = "127.0.0.1:8888"
)
func main() {
	// TLS认证
	//从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, _ := tls.LoadX509KeyPair("keys/server.pem", "keys/server.key")
	certPool := x509.NewCertPool() //初始化一个CertPool
	ca, _ := ioutil.ReadFile("keys/ca.pem")
	certPool.AppendCertsFromPEM(ca) //解析传入的证书,解析成功会将其加到池子中
	creds := credentials.NewTLS(&tls.Config{ //构建基于TLS的TransportCredentials选项
		Certificates: []tls.Certificate{cert}, //服务端证书链,可以有多个
		ClientAuth:   tls.RequireAndVerifyClientCert, //要求必须验证客户端证书
		ClientCAs:    certPool, //设置根证书的集合,校验方式使用 ClientAuth 中设定的模式
	})
	rpcServer := grpc.NewServer(grpc.Creds(creds)) //实例化grpc Server
	//创建带ca证书验证的服务端
	services.RegisterProdServiceServer(rpcServer,new(services.ProdService))
	listen, _ := net.Listen("tcp",Address) //设置传输协议和监听地址
	log.Println("Listen on " + Address + " with TLS")
	rpcServer.Serve(listen)
}

1.5 客户端代码改写

客户端改写:同样要拷贝ca.pemclient.keyclient.pem到客户端项目中,改写代码:

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"grpcClient/services"
	"io/ioutil"
	"log"
)
const (
	// Address gRPC服务地址
	Address = "127.0.0.1:8888"
)
func main() {
	// TLS连接
	//从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, _ := tls.LoadX509KeyPair("keys/client.pem", "keys/client.key")
	certPool := x509.NewCertPool()
	ca, _ := ioutil.ReadFile("keys/ca.pem")
	certPool.AppendCertsFromPEM(ca)

	creds := credentials.NewTLS(&tls.Config{
		Certificates: []tls.Certificate{cert}, //客户端证书
		ServerName:   "www.p-pp.cn", //注意这里的参数为配置文件中所允许的ServerName,也就是其中配置的DNS...
		RootCAs:      certPool,
	})
	conn, err := grpc.Dial(Address,grpc.WithTransportCredentials(creds)) //连接服务端
	if err != nil {
		log.Fatal(err)
	}
	defer conn.Close()
	prodClient := services.NewProdServiceClient(conn) //初始化客户端
	prodRes, err := prodClient.GetProdStock(context.Background(),&services.ProdRequest{ProdId: 12}) //调用方法
	if err != nil{
		log.Fatal(err)
	}
	fmt.Printf("grpcClient getProdStock is %d\n",prodRes.ProdStock)
}

1.6 双向认证成功

启动两个服务之后客户端就能使用服务端的服务了。
在这里插入图片描述

grpc、https、oauth2等认证专栏实战15:grpc双向认证介绍
码二哥的技术池
10-24 841
2.3.1、第一步:生成服务器端密钥服务器端证书名 (非SAN类型,客户端不需要被访问,不需要添加额外的域名)请求域名www.golang-server.cn要在客户端一侧进行配置,因为是在客户端一侧进行的发起的访问请求。2.2.1、第一步:生成服务器端密钥服务器端证书名 (SAN类型,即多个域名生效)4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。2.2.2、第二步:根据CA证书,来颁发服务器端证书。2.3.2、第二步:根据CA证书,来颁发客户端证书。
gRPC安全设计理解双向证书方案
weixin_47208161的博客
11-02 1748
序言安全需求安全方案敏感数据加密传输认证鉴权数据完整性一致性证书的基本原理单向证书双向证书gRPC安全机制SSL/TLS认证GoogleOAuth2.0自定义安全认证策略序言网络安全领...
gRPC的使用
最新发布
C/C++
05-28 1035
gRPC使用复习
带入gRPC:基于 CATLS 证书认证
weixin_34175509的博客
10-08 1021
带入gRPC:基于 CATLS 证书认证 原文地址:带入gRPC:基于 CATLS 证书认证项目地址:https://github.com/EDDYCJY/go... 前言 在上一章节中,我们提出了一个问题。就是如何保证证书的可靠性有效性?你如何确定你 Server、Client 的证书是对的呢? CA 为了保证证书的可靠性...
go-grpc-3双向认证
qq_40530622的博客
11-12 387
openssl # 生成CA证书 genrsa -out ca.key 2048 req -new -x509 -days 3650 -key ca.key -out ca.pem # 其中的common name填写域名,这里填写localhost # 生成服务端证书 genrsa -out server.key 2048 req -new -key server.key -out server.csr # 注意,这里的common name 填写要上面一样,如果出现错误则关闭此cmd,重新打开再
gRPC双向认证初入
程序彤的博客
06-18 424
生成.pem.key文件 server.go文件 package main import ( "crypto/tls" "crypto/x509" "google.golang.org/grpc" "google.golang.org/grpc/credentials" "io/ioutil" "learnProto/services/proto" "net" ) func main(){ cert, _ := tls.LoadX509KeyPair("cert/server.pe.
go学习笔记 Windows Go 1.15 以上版本的 GRPC 通信【自CA双向认证
dz45693的专栏
12-30 2029
简单说一下我的环境 win7+go1.15.6,GO1.15 X509 不能用了, 证书 需要用到SAN证书,下面就介绍一下SAN证书生成。首先需要下载 OpenSSLhttp://slproweb.com/products/Win32OpenSSL.html 第1步:生成 CA 根证书 ????openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus (2 primes) ......
Golang gRPC: 基于CA证书的双向TLS认证
weixin_41335923的博客
04-18 1763
Golang gRPC: 基于CA证书的双向TLS认证
gRPC双向认证:如何让客户端服务端互相认证
# 第一章:介绍gRPC 双向认证 ...### 第三章:配置gRPC 客户端双向认证 在本章中,我们将详细介绍如何配置 gRPC 客户端以实现双向认证双向认证需要客户端发送自己的证书给服务器端,以便服务器端验证客户端的身份
【Python gRPC服务端开发】服务端逻辑实现:编写服务处理函数
gRPC服务端是微服务架构中不可或缺的组件之一,它通过定义清晰的服务接口,使得服务端能够高效地与客户端进行通信。这一章节将介绍gRPC服务端的基本概念工作原理,为深入理解后续章节中的技术细节打下坚实的基础。...
grpc-go证书双向认证
一个金牛座猿猿子的技术分享空间
11-06 1048
生成 golang 的 接口文件,helloworld.pb.go helloworld_grpc.pb.go。拉取代码,示例在 examples/features/encryption/mTLS 目录中。在grpc-go代码中,有一个示例,给出了服务端客户端证书双向认证的实现。可以用同一个,所以,至少需要3个证书也可以。本文章示例就是用的3个证书做的示范。)进行修改,实现客户端服务端双向认证,并做了一些注释以作备忘。对DNS配置IP配置有一些要求。颁发客户端证书没有特殊要求,颁发。
gRPC — SSL/TLS单向认证双向认证、Token认证
qq_56639722的博客
03-09 3478
传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥一个公有密钥。
Akka-CQRS(13)- SSL/TLS for gRPC and HTTPS:自名证书产生使用
weixin_30732825的博客
06-24 209
到现在,我们已经完成了POS平台前端的网络集成。不过,还是那句话:平台系统的网络安全是至关重要的。前一篇博客里我们尝试实现了gRPC ssl/tls网络连接,但测试时用的证书如何产生始终没有搞清楚。现在akka-http开发的ws同样面临HTTPS的设置使用问题。所以,特别抽出这篇博文讨论一下数字证书的问题。 在正式的生产环境里数字证书应该是由第三方公证机构CA发的,我们需要...
gRPC SSL/TLS双向认证--SSL/TLS 工作原理
学习————
10-20 2718
一、SSL/TLS 介绍 什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更..
CA双向认证
weixin_40292830的博客
07-15 3107
一、双向认证 CA认证有单向认证双向认证,在我们日常网页浏览中,我们接触到的大多数是单向认证,而在一些银行系统等对安全性要求比较高的系统,会采用双向认证。 单向认证只是客户端(浏览器)认证服务端(例如tomcat等), 双向认证指的是服务端客户端之间相互都要认证(在浏览器体现为需要安装进证书)。 https的双向认证大概过程(摘自http://blog.chinaunix.net/uid...
gRPC双向认证grpc-gateway原理及简单使用
时光、疏离了记忆づ童话的博客
04-24 2717
前言 在上一篇文章自CA服务端客户端双向认证中,我们了解了双向认证并进行了实践,本篇文章将基于双向认证,使用gRPC-Gateway提供http请求处理的api,这样便于提供gRPCRESTful风格的API。官方地址:https://github.com/grpc-ecosystem/grpc-gateway grpc-gateway原理 gRPC-Gateway是Protocol Buffers编译器协议的一个插件。它读取Protobuf服务定义并生成一个反向代理服务器,该服务器将RESTful
gRPC教程 — TLS单向认证双向认证、Token认证、拦截器
Mr_XiMu的博客
05-23 6807
gRPC教程 — TLS单向认证双向认证、Token认证、拦截器
CA认证完整实现步骤
皮卡丘踢球
02-11 6625
(本文参考https://blog.csdn.net/tuzongxun/article/details/88647172) 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方...
Android Https双向认证 + GRPC
weixin_30568591的博客
01-28 643
keywords:android https 双向认证android GRPC https 双向认证 ManagedChannel channel = OkHttpChannelBuilder.forAddress("xxx",yyy) .overrideAuthority("zzz") ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

童话ing

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值