gRPC 入門指南 — 通過 TLS 建立安全連接(五)

前言

前幾篇文章大家看到的例子,通信雙方都是沒有經過 TLS 加密的。可以看下下面的抓包數據,都是明文的,生產環境上數據是絕對不允許這樣 “裸奔” 的,數據容易被篡改。

conn, err := grpc.Dial(addr,grpc.WithInsecure())

接下來這篇文章就來給大家介紹下使用 TLS 加密數據。

生成證書

Go 1.15 版本開始廢棄 CommonName[1],因此推薦使用 SAN 證書。如果想兼容之前的方式,需要設置環境變量 GODEBUG 爲 x509ignoreCN=0。

這篇文章我們使用 SAN 證書。使用如下命令生成證書:

生成私鑰
openssl genrsa -out server.key 2048

證書文件
openssl req -nodes -new -x509 -sha256 -days 1825 -config openssl.cnf -extensions 'req_ext' -key server.key -out server.crt

openssl x509 -in server.crt -text

上述命令依賴文件 openssl.cnf

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = CN
ST = ZheJiang
L = Hangzhou
O = Seekload Ltd.
OU = Information Technologies
emailAddress = email@email.com
CN = localhost

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = localhost
DNS.2 = seekload.net
DNS.3 = www.seekload.net

執行完上述命令之後,會在目錄下生成文件 server.key、server.crt。我們就可以拿這兩個文件來加密數據。

關於證書的生成大家可以看下文末的參考文章,就不在這贅述。

Server 端

package main

import (
 "context"
 pb "go-grpc-example/5-security/proto"
 "google.golang.org/grpc"
 "google.golang.org/grpc/credentials"
 "log"
 "net"
)

const (
 Address string = ":8000"
 Network string = "tcp"
)

type SimpleService struct{}

func (s *SimpleService) GetSimpleInfo(ctx context.Context, req *pb.SimpleRequest) (*pb.SimpleResponse, error) {
 data := req.Data
 log.Println("get from client: ", data)
 resp := pb.SimpleResponse{
  Code:  1,
  Value: "gRPC",
 }
 return &resp, nil
}

func main() {
 // 1.監聽端口
 listener, err := net.Listen(Network, Address)
 if err != nil {
  log.Fatalf("listener err: %v", err)
 }
 log.Println(Address + " net.Listing...")

 // 爲服務端構造TLS憑證
 creds, err := credentials.NewServerTLSFromFile("../cert/server.crt""../cert/server.key")
 if err != nil {
  log.Fatalf("Failed to generate credentials %v", err)
 }

 // 2.實例化gRPC實例
 grpcServer := grpc.NewServer(grpc.Creds(creds))

 // 3.註冊我們的服務
 pb.RegisterSimpleServer(grpcServer, &SimpleService{})

 // 4.啓動gRPC服務端
 err = grpcServer.Serve(listener)
 if err != nil {
  log.Fatalf("grpc server err: %v", err)
 }
}

服務端代碼修改點:

Client 端

package main

import (
 "context"
 pb "go-grpc-example/5-security/proto"
 "google.golang.org/grpc"
 "google.golang.org/grpc/credentials"
 "log"
)

const Address string = ":8000"

func main() {
 // 爲客戶端構造TLS憑證
 creds, err := credentials.NewClientTLSFromFile("../cert/server.crt""localhost")
 if err != nil {
  log.Fatalf("Failed to create TLS credentials %v", err)
 }

 var DialOptions = []grpc.DialOption{
  grpc.WithTransportCredentials(creds),
 }

 // 連接服務端
 conn, err := grpc.Dial(Address, DialOptions...)
 if err != nil {
  log.Fatalf("grpc conn err: %v", err)
 }
 defer conn.Close()

 // 創建gRPC客戶端
 grpcClient := pb.NewSimpleClient(conn)

 res := pb.SimpleRequest{
  Data: "seekload",
 }
 resp, err := grpcClient.GetSimpleInfo(context.Background()&res)
 if err != nil {
  log.Fatalf("stream get from server err: %v", err)
 }
 log.Printf("get from server,code: %v,value: %v", resp.Code, resp.Value)
}

客戶端修改點:

驗證

到此就已經完成 TLS 證書認證,gRPC 傳輸不再是明文傳輸,一起來驗證看下

運行服務端:

go run server.go

:8000 net.Listing...
get from client:  seekload

運行客戶端:

go run client.go
get from server,code: 1,value: gRPC

抓包看下:

數據已經加密無疑。

總結

這篇文章給大家簡單介紹了使用 SAN 證書實現 TLS 加密,保證數據安全。

參考文章:
1.https://eddycjy.com/posts/go/grpc/2018-10-07-grpc-tls/
2.https://www.cnblogs.com/jackluo/p/13841286.html
3.https://lixueduan.com/post/grpc/04-encryption-tls/

參考資料

[1]

CommonName: https://golang.org/doc/go1.15#commonname

本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源https://mp.weixin.qq.com/s/Qa3YZcfl-JaJ6iQd3mXptQ

猜你喜歡