gRPC 入門指南 — 通過 TLS 建立安全連接(五)
前言
前幾篇文章大家看到的例子,通信雙方都是沒有經過 TLS 加密的。可以看下下面的抓包數據,都是明文的,生產環境上數據是絕對不允許這樣 “裸奔” 的,數據容易被篡改。
conn, err := grpc.Dial(addr,grpc.WithInsecure())
接下來這篇文章就來給大家介紹下使用 TLS 加密數據。
生成證書
Go 1.15 版本開始廢棄 CommonName[1],因此推薦使用 SAN 證書。如果想兼容之前的方式,需要設置環境變量 GODEBUG 爲 x509ignoreCN=0。
這篇文章我們使用 SAN 證書。使用如下命令生成證書:
生成私鑰
openssl genrsa -out server.key 2048
證書文件
openssl req -nodes -new -x509 -sha256 -days 1825 -config openssl.cnf -extensions 'req_ext' -key server.key -out server.crt
openssl x509 -in server.crt -text
上述命令依賴文件 openssl.cnf
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C = CN
ST = ZheJiang
L = Hangzhou
O = Seekload Ltd.
OU = Information Technologies
emailAddress = email@email.com
CN = localhost
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = localhost
DNS.2 = seekload.net
DNS.3 = www.seekload.net
執行完上述命令之後,會在目錄下生成文件 server.key、server.crt。我們就可以拿這兩個文件來加密數據。
關於證書的生成大家可以看下文末的參考文章,就不在這贅述。
Server 端
package main
import (
"context"
pb "go-grpc-example/5-security/proto"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"log"
"net"
)
const (
Address string = ":8000"
Network string = "tcp"
)
type SimpleService struct{}
func (s *SimpleService) GetSimpleInfo(ctx context.Context, req *pb.SimpleRequest) (*pb.SimpleResponse, error) {
data := req.Data
log.Println("get from client: ", data)
resp := pb.SimpleResponse{
Code: 1,
Value: "gRPC",
}
return &resp, nil
}
func main() {
// 1.監聽端口
listener, err := net.Listen(Network, Address)
if err != nil {
log.Fatalf("listener err: %v", err)
}
log.Println(Address + " net.Listing...")
// 爲服務端構造TLS憑證
creds, err := credentials.NewServerTLSFromFile("../cert/server.crt", "../cert/server.key")
if err != nil {
log.Fatalf("Failed to generate credentials %v", err)
}
// 2.實例化gRPC實例
grpcServer := grpc.NewServer(grpc.Creds(creds))
// 3.註冊我們的服務
pb.RegisterSimpleServer(grpcServer, &SimpleService{})
// 4.啓動gRPC服務端
err = grpcServer.Serve(listener)
if err != nil {
log.Fatalf("grpc server err: %v", err)
}
}
服務端代碼修改點:
-
credentials.NewServerTLSFromFile() 根據服務端輸入的證書文件和私鑰構造 TLS 憑證;
-
grpc.Creds():返回一個 ServerOption,用於設置服務器連接的憑據;
Client 端
package main
import (
"context"
pb "go-grpc-example/5-security/proto"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"log"
)
const Address string = ":8000"
func main() {
// 爲客戶端構造TLS憑證
creds, err := credentials.NewClientTLSFromFile("../cert/server.crt", "localhost")
if err != nil {
log.Fatalf("Failed to create TLS credentials %v", err)
}
var DialOptions = []grpc.DialOption{
grpc.WithTransportCredentials(creds),
}
// 連接服務端
conn, err := grpc.Dial(Address, DialOptions...)
if err != nil {
log.Fatalf("grpc conn err: %v", err)
}
defer conn.Close()
// 創建gRPC客戶端
grpcClient := pb.NewSimpleClient(conn)
res := pb.SimpleRequest{
Data: "seekload",
}
resp, err := grpcClient.GetSimpleInfo(context.Background(), &res)
if err != nil {
log.Fatalf("stream get from server err: %v", err)
}
log.Printf("get from server,code: %v,value: %v", resp.Code, resp.Value)
}
客戶端修改點:
-
credentials.NewClientTLSFromFile() 從輸入的證書文件中爲客戶端構造 TLS 憑證;
-
grpc.WithTransportCredentials() 指定安全連接,返回一個 DialOption,用於連接服務器。
驗證
到此就已經完成 TLS 證書認證,gRPC 傳輸不再是明文傳輸,一起來驗證看下
運行服務端:
go run server.go
:8000 net.Listing...
get from client: seekload
運行客戶端:
go run client.go
get from server,code: 1,value: gRPC
抓包看下:
數據已經加密無疑。
總結
這篇文章給大家簡單介紹了使用 SAN 證書實現 TLS 加密,保證數據安全。
參考文章:
1.https://eddycjy.com/posts/go/grpc/2018-10-07-grpc-tls/
2.https://www.cnblogs.com/jackluo/p/13841286.html
3.https://lixueduan.com/post/grpc/04-encryption-tls/
參考資料
[1]
CommonName: https://golang.org/doc/go1.15#commonname
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/Qa3YZcfl-JaJ6iQd3mXptQ