gRPC基于CA的TLS证书认证

前言

在上一章节中&＃xff0c;我们提出了一个问题。就是如何保证证书的可靠性和有效性&＃xff1f;你如何确定你 Server、Client 的证书是对的呢&＃xff1f;

CA

为了保证证书的可靠性和有效性&＃xff0c;在这里可引入 CA 颁发的根证书的概念。其遵守 X.509 标准

根证书

根证书&＃xff08;root certificate&＃xff09;是属于根证书颁发机构&＃xff08;CA&＃xff09;的公钥证书。我们可以通过验证 CA 的签名从而信任 CA &＃xff0c;任何人都可以得到 CA 的证书&＃xff08;含公钥&＃xff09;&＃xff0c;用以验证它所签发的证书&＃xff08;客户端、服务端&＃xff09;

它包含的文件如下&＃xff1a;

• 公钥

• 密钥

生成 Key

openssl genrsa -out ca.key 2048

生成密钥

openssl req -new -x509 -days 7200 -key ca.key -out ca.pem

填写信息

Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:go-grpc-example
Email Address []:

Server

生成 CSR

openssl req -new -key server.key -out server.csr

填写信息

Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:go-grpc-example
Email Address []:
Please enter the following &＃39;extra&＃39; attributes
to be sent with your certificate request
A challenge password []:

CSR 是 Cerificate Signing Request 的英文缩写&＃xff0c;为证书请求文件。主要作用是 CA 会利用 CSR 文件进行签名使得攻击者无法伪装或篡改原有证书

基于 CA 签发

openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in server.csr -out server.pem

Client

生成 Key

openssl ecparam -genkey -name secp384r1 -out client.key

生成 CSR

openssl req -new -key client.key -out client.csr

基于 CA 签发

openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in client.csr -out client.pem

整理目录

至此我们生成了一堆文件&＃xff0c;请按照以下目录结构存放&＃xff1a;

$ tree conf
conf
├── ca.key
├── ca.pem
├── ca.srl
├── client
│   ├── client.csr
│   ├── client.key
│   └── client.pem
└── server ├── server.csr ├── server.key └── server.pem

另外有一些文件是不应该出现在仓库内&＃xff0c;应当保密或删除的。但为了真实演示所以保留着&＃xff08;敲黑板&＃xff09;

gRPC

接下来将正式开始针对 gRPC 进行编码&＃xff0c;改造上一章节的代码。目标是基于 CA 进行 TLS 认证 &＃x1f92b;

Server

package main
import ( "context" "log" "net" "crypto/tls" "crypto/x509" "io/ioutil" "google.golang.org/grpc" "google.golang.org/grpc/credentials" pb "github.com/EDDYCJY/go-grpc-example/proto"
)
...
const PORT &＃61; "9001"
func main() { cert, err :&＃61; tls.LoadX509KeyPair("../../conf/server/server.pem", "../../conf/server/server.key") if err !&＃61; nil { log.Fatalf("tls.LoadX509KeyPair err: %v", err) } certPool :&＃61; x509.NewCertPool() ca, err :&＃61; ioutil.ReadFile("../../conf/ca.pem") if err !&＃61; nil { log.Fatalf("ioutil.ReadFile err: %v", err) } if ok :&＃61; certPool.AppendCertsFromPEM(ca); !ok { log.Fatalf("certPool.AppendCertsFromPEM err") } c :&＃61; credentials.NewTLS(&tls.Config{ Certificates: []tls.Certificate{cert}, ClientAuth: tls.RequireAndVerifyClientCert, ClientCAs: certPool, }) server :&＃61; grpc.NewServer(grpc.Creds(c)) pb.RegisterSearchServiceServer(server, &SearchService{}) lis, err :&＃61; net.Listen("tcp", ":"&＃43;PORT) if err !&＃61; nil { log.Fatalf("net.Listen err: %v", err) } server.Serve(lis)
}

• tls.LoadX509KeyPair()&＃xff1a;从证书相关文件中读取和解析信息&＃xff0c;得到证书公钥、密钥对

func LoadX509KeyPair(certFile, keyFile string) (Certificate, error) { certPEMBlock, err :&＃61; ioutil.ReadFile(certFile) if err !&＃61; nil { return Certificate{}, err } keyPEMBlock, err :&＃61; ioutil.ReadFile(keyFile) if err !&＃61; nil { return Certificate{}, err } return X509KeyPair(certPEMBlock, keyPEMBlock)
}

• x509.NewCertPool()&＃xff1a;创建一个新的、空的 CertPool

• certPool.AppendCertsFromPEM()&＃xff1a;尝试解析所传入的 PEM 编码的证书。如果解析成功会将其加到 CertPool 中&＃xff0c;便于后面的使用

• credentials.NewTLS&＃xff1a;构建基于 TLS 的 TransportCredentials 选项

• tls.Config&＃xff1a;Config 结构用于配置 TLS 客户端或服务器

在 Server&＃xff0c;共使用了三个 Config 配置项&＃xff1a;

&＃xff08;1&＃xff09;Certificates&＃xff1a;设置证书链&＃xff0c;允许包含一个或多个

&＃xff08;2&＃xff09;ClientAuth&＃xff1a;要求必须校验客户端的证书。可以根据实际情况选用以下参数&＃xff1a;

const ( NoClientCert ClientAuthType &＃61; iota RequestClientCert RequireAnyClientCert VerifyClientCertIfGiven RequireAndVerifyClientCert
)

&＃xff08;3&＃xff09;ClientCAs&＃xff1a;设置根证书的集合&＃xff0c;校验方式使用 ClientAuth 中设定的模式

Client

package main
import ( "context" "crypto/tls" "crypto/x509" "io/ioutil" "log" "google.golang.org/grpc" "google.golang.org/grpc/credentials" pb "github.com/EDDYCJY/go-grpc-example/proto"
)
const PORT &＃61; "9001"
func main() { cert, err :&＃61; tls.LoadX509KeyPair("../../conf/client/client.pem", "../../conf/client/client.key") if err !&＃61; nil { log.Fatalf("tls.LoadX509KeyPair err: %v", err) } certPool :&＃61; x509.NewCertPool() ca, err :&＃61; ioutil.ReadFile("../../conf/ca.pem") if err !&＃61; nil { log.Fatalf("ioutil.ReadFile err: %v", err) } if ok :&＃61; certPool.AppendCertsFromPEM(ca); !ok { log.Fatalf("certPool.AppendCertsFromPEM err") } c :&＃61; credentials.NewTLS(&tls.Config{ Certificates: []tls.Certificate{cert}, ServerName: "go-grpc-example", RootCAs: certPool, }) conn, err :&＃61; grpc.Dial(":"&＃43;PORT, grpc.WithTransportCredentials(c)) if err !&＃61; nil { log.Fatalf("grpc.Dial err: %v", err) } defer conn.Close() client :&＃61; pb.NewSearchServiceClient(conn) resp, err :&＃61; client.Search(context.Background(), &pb.SearchRequest{ Request: "gRPC", }) if err !&＃61; nil { log.Fatalf("client.Search err: %v", err) } log.Printf("resp: %s", resp.GetResponse())
}

在 Client 中绝大部分与 Server 一致&＃xff0c;不同点的地方是&＃xff0c;在 Client 请求 Server 端时&＃xff0c;Client 端会使用根证书和 ServerName 去对 Server 端进行校验

简单流程大致如下&＃xff1a;

1. Client 通过请求得到 Server 端的证书

2. 使用 CA 认证的根证书对 Server 端的证书进行可靠性、有效性等校验

3. 校验 ServerName 是否可用、有效

当然了&＃xff0c;在设置了 tls.RequireAndVerifyClientCert 模式的情况下&＃xff0c;Server 也会使用 CA 认证的根证书对 Client 端的证书进行可靠性、有效性等校验。也就是两边都会进行校验&＃xff0c;极大的保证了安全性 &＃x1f44d;

验证

重新启动 server.go 和执行 client.go&＃xff0c;查看响应结果是否正常

总结

在本章节&＃xff0c;我们使用 CA 颁发的根证书对客户端、服务端的证书进行了签发。进一步的提高了两者的通讯安全

这回是真的大功告成了&＃xff01;

项目地址&＃xff1a;https://github.com/EDDYCJY/go-grpc-example

参考

本系列示例代码

• go-grpc-example