gRPC入門指南 — 通過TLS建立安全連接(五)
前言
前幾篇文章大家看到的例子,通信雙方都是沒有經(jīng)過 TLS 加密的。可以看下下面的抓包數(shù)據(jù),都是明文的,生產(chǎn)環(huán)境上數(shù)據(jù)是絕對不允許這樣“裸奔”的,數(shù)據(jù)容易被篡改。
conn, err := grpc.Dial(addr,grpc.WithInsecure())
接下來這篇文章就來給大家介紹下使用 TLS 加密數(shù)據(jù)。
生成證書
Go 1.15 版本開始廢棄 CommonName[1],因此推薦使用 SAN 證書。如果想兼容之前的方式,需要設置環(huán)境變量 GODEBUG 為 x509ignoreCN=0。
這篇文章我們使用 SAN 證書。使用如下命令生成證書:
生成私鑰
openssl genrsa -out server.key 2048
證書文件
openssl req -nodes -new -x509 -sha256 -days 1825 -config openssl.cnf -extensions 'req_ext' -key server.key -out server.crt
openssl x509 -in server.crt -text
上述命令依賴文件 openssl.cnf
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C = CN
ST = ZheJiang
L = Hangzhou
O = Seekload Ltd.
OU = Information Technologies
emailAddress = [email protected]
CN = localhost
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = localhost
DNS.2 = seekload.net
DNS.3 = www.seekload.net
執(zhí)行完上述命令之后,會在目錄下生成文件 server.key、server.crt。我們就可以拿這兩個文件來加密數(shù)據(jù)。
關于證書的生成大家可以看下文末的參考文章,就不在這贅述。
Server端
package main
import (
"context"
pb "go-grpc-example/5-security/proto"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"log"
"net"
)
const (
Address string = ":8000"
Network string = "tcp"
)
type SimpleService struct{}
func (s *SimpleService) GetSimpleInfo(ctx context.Context, req *pb.SimpleRequest) (*pb.SimpleResponse, error) {
data := req.Data
log.Println("get from client: ", data)
resp := pb.SimpleResponse{
Code: 1,
Value: "gRPC",
}
return &resp, nil
}
func main() {
// 1.監(jiān)聽端口
listener, err := net.Listen(Network, Address)
if err != nil {
log.Fatalf("listener err: %v", err)
}
log.Println(Address + " net.Listing...")
// 為服務端構(gòu)造TLS憑證
creds, err := credentials.NewServerTLSFromFile("../cert/server.crt", "../cert/server.key")
if err != nil {
log.Fatalf("Failed to generate credentials %v", err)
}
// 2.實例化gRPC實例
grpcServer := grpc.NewServer(grpc.Creds(creds))
// 3.注冊我們的服務
pb.RegisterSimpleServer(grpcServer, &SimpleService{})
// 4.啟動gRPC服務端
err = grpcServer.Serve(listener)
if err != nil {
log.Fatalf("grpc server err: %v", err)
}
}
服務端代碼修改點:
credentials.NewServerTLSFromFile() 根據(jù)服務端輸入的證書文件和私鑰構(gòu)造 TLS 憑證; grpc.Creds():返回一個 ServerOption,用于設置服務器連接的憑據(jù);
Client端
package main
import (
"context"
pb "go-grpc-example/5-security/proto"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"log"
)
const Address string = ":8000"
func main() {
// 為客戶端構(gòu)造TLS憑證
creds, err := credentials.NewClientTLSFromFile("../cert/server.crt", "localhost")
if err != nil {
log.Fatalf("Failed to create TLS credentials %v", err)
}
var DialOptions = []grpc.DialOption{
grpc.WithTransportCredentials(creds),
}
// 連接服務端
conn, err := grpc.Dial(Address, DialOptions...)
if err != nil {
log.Fatalf("grpc conn err: %v", err)
}
defer conn.Close()
// 創(chuàng)建gRPC客戶端
grpcClient := pb.NewSimpleClient(conn)
res := pb.SimpleRequest{
Data: "seekload",
}
resp, err := grpcClient.GetSimpleInfo(context.Background(), &res)
if err != nil {
log.Fatalf("stream get from server err: %v", err)
}
log.Printf("get from server,code: %v,value: %v", resp.Code, resp.Value)
}
客戶端修改點:
credentials.NewClientTLSFromFile() 從輸入的證書文件中為客戶端構(gòu)造TLS憑證; grpc.WithTransportCredentials() 指定安全連接,返回一個 DialOption,用于連接服務器。
驗證
到此就已經(jīng)完成 TLS 證書認證,gRPC 傳輸不再是明文傳輸,一起來驗證看下
運行服務端:
go run server.go
:8000 net.Listing...
get from client: seekload
運行客戶端:
go run client.go
get from server,code: 1,value: gRPC
抓包看下:
數(shù)據(jù)已經(jīng)加密無疑。
總結(jié)
這篇文章給大家簡單介紹了使用 SAN 證書實現(xiàn) TLS 加密,保證數(shù)據(jù)安全。
參考文章:
1.https://eddycjy.com/posts/go/grpc/2018-10-07-grpc-tls/
2.https://www.cnblogs.com/jackluo/p/13841286.html
3.https://lixueduan.com/post/grpc/04-encryption-tls/
推薦閱讀
評論
圖片
表情