Go gRPC 系列四:对 Client/Server 进行 TLS 校验
前言
你们好,我是煎鱼,在前面的章节里,咱们介绍了 gRPC 的四种 API 使用方式。是否是很简单呢。git
此时存在一个安全问题,先前的例子中 gRPC Client/Server 都是明文传输的,会不会有被窃听的风险呢?github
从结论上来说,是有的。在明文通信的状况下,你的请求就是裸奔的,有可能被第三方恶意篡改或者伪造为“非法”的数据golang
抓个包
嗯,明文传输无误。这是有问题的,接下将改造咱们的 gRPC,以便于解决这个问题 😤segmentfault
证书生成
私钥
openssl ecparam -genkey -name secp384r1 -out server.key
复制代码
自签公钥
openssl req -new -x509 -sha256 -key server.key -out server.pem -days 3650
复制代码
填写信息
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:go-grpc-example
Email Address []:
复制代码
生成完毕
生成证书结束后,将证书相关文件放到 conf/ 下,目录结构:安全
$ tree go-grpc-example
go-grpc-example
├── client
├── conf
│ ├── server.key
│ └── server.pem
├── proto
└── server
├── simple_server
└── stream_server
复制代码
因为本文偏向 gRPC,详解可参见 《制做证书》。后续番外可能会展开细节描述 👌bash
为何以前不须要证书
在 simple_server 中,为何“啥事都没干”就能在不须要证书的状况下运行呢?服务器
Server
grpc.NewServer()
复制代码
在服务端显然没有传入任何 DialOptions网络
Client
conn, err := grpc.Dial(":"+PORT, grpc.WithInsecure())
复制代码
在客户端留意到 grpc.WithInsecure() 方法app
func WithInsecure() DialOption {
return newFuncDialOption(func(o *dialOptions) {
o.insecure = true
})
}
复制代码
在方法内能够看到 WithInsecure 返回一个 DialOption,而且它最终会经过读取设置的值来禁用安全传输tcp
那么它“最终”又是在哪里处理的呢,咱们把视线移到 grpc.Dial() 方法内
func DialContext(ctx context.Context, target string, opts ...DialOption) (conn *ClientConn, err error) {
...
for _, opt := range opts {
opt.apply(&cc.dopts)
}
...
if !cc.dopts.insecure {
if cc.dopts.copts.TransportCredentials == nil {
return nil, errNoTransportSecurity
}
} else {
if cc.dopts.copts.TransportCredentials != nil {
return nil, errCredentialsConflict
}
for _, cd := range cc.dopts.copts.PerRPCCredentials {
if cd.RequireTransportSecurity() {
return nil, errTransportCredentialsMissing
}
}
}
...
creds := cc.dopts.copts.TransportCredentials
if creds != nil && creds.Info().ServerName != "" {
cc.authority = creds.Info().ServerName
} else if cc.dopts.insecure && cc.dopts.authority != "" {
cc.authority = cc.dopts.authority
} else {
// Use endpoint from "scheme://authority/endpoint" as the default
// authority for ClientConn.
cc.authority = cc.parsedTarget.Endpoint
}
...
}
复制代码
gRPC
接下来咱们将正式开始编码,在 gRPC Client/Server 上实现 TLS 证书认证的支持 🤔
TLS Server
package main
import (
"context"
"log"
"net"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
pb "github.com/EDDYCJY/go-grpc-example/proto"
)
...
const PORT = "9001"
func main() {
c, err := credentials.NewServerTLSFromFile("../../conf/server.pem", "../../conf/server.key")
if err != nil {
log.Fatalf("credentials.NewServerTLSFromFile err: %v", err)
}
server := grpc.NewServer(grpc.Creds(c))
pb.RegisterSearchServiceServer(server, &SearchService{})
lis, err := net.Listen("tcp", ":"+PORT)
if err != nil {
log.Fatalf("net.Listen err: %v", err)
}
server.Serve(lis)
}
复制代码
- credentials.NewServerTLSFromFile:根据服务端输入的证书文件和密钥构造 TLS 凭证
func NewServerTLSFromFile(certFile, keyFile string) (TransportCredentials, error) {
cert, err := tls.LoadX509KeyPair(certFile, keyFile)
if err != nil {
return nil, err
}
return NewTLS(&tls.Config{Certificates: []tls.Certificate{cert}}), nil
}
复制代码
- grpc.Creds():返回一个 ServerOption,用于设置服务器链接的凭据。用于
grpc.NewServer(opt ...ServerOption)为 gRPC Server 设置链接选项
func Creds(c credentials.TransportCredentials) ServerOption {
return func(o *options) {
o.creds = c
}
}
复制代码
通过以上两个简单步骤,gRPC Server 就创建起需证书认证的服务啦 🤔
TLS Client
package main
import (
"context"
"log"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
pb "github.com/EDDYCJY/go-grpc-example/proto"
)
const PORT = "9001"
func main() {
c, err := credentials.NewClientTLSFromFile("../../conf/server.pem", "go-grpc-example")
if err != nil {
log.Fatalf("credentials.NewClientTLSFromFile err: %v", err)
}
conn, err := grpc.Dial(":"+PORT, grpc.WithTransportCredentials(c))
if err != nil {
log.Fatalf("grpc.Dial err: %v", err)
}
defer conn.Close()
client := pb.NewSearchServiceClient(conn)
resp, err := client.Search(context.Background(), &pb.SearchRequest{
Request: "gRPC",
})
if err != nil {
log.Fatalf("client.Search err: %v", err)
}
log.Printf("resp: %s", resp.GetResponse())
}
复制代码
- credentials.NewClientTLSFromFile():根据客户端输入的证书文件和密钥构造 TLS 凭证。serverNameOverride 为服务名称
func NewClientTLSFromFile(certFile, serverNameOverride string) (TransportCredentials, error) {
b, err := ioutil.ReadFile(certFile)
if err != nil {
return nil, err
}
cp := x509.NewCertPool()
if !cp.AppendCertsFromPEM(b) {
return nil, fmt.Errorf("credentials: failed to append certificates")
}
return NewTLS(&tls.Config{ServerName: serverNameOverride, RootCAs: cp}), nil
}
复制代码
- grpc.WithTransportCredentials():返回一个配置链接的 DialOption 选项。用于
grpc.Dial(target string, opts ...DialOption)设置链接选项
func WithTransportCredentials(creds credentials.TransportCredentials) DialOption {
return newFuncDialOption(func(o *dialOptions) {
o.copts.TransportCredentials = creds
})
}
复制代码
验证
请求
从新启动 server.go 和执行 client.go,获得响应结果
$ go run client.go
2018/09/30 20:00:21 resp: gRPC Server
复制代码
抓个包
成功。
总结
在本章节咱们实现了 gRPC TLS Client/Servert,你觉得大功告成了吗?我不 😤
问题
你仔细再看看,Client 是基于 Server 端的证书和服务名称来创建请求的。这样的话,你就须要将 Server 的证书经过各类手段给到 Client 端,不然是没法完成这项任务的
问题也就来了,你没法保证你的“各类手段”是安全的,毕竟如今的网络环境是很危险的,万一被...
咱们将在下一章节解决这个问题,保证其可靠性。
?
若是有任何疑问或错误,欢迎在 issues 进行提问或给予修正意见,若是喜欢或对你有所帮助,欢迎 Star,对做者是一种鼓励和推动。
个人公众号
参考
本系列示例代码
相关文章
- 1. Go gRPC 系列五:基于 CA 的 TLS 证书校验
- 2. grpc TLS证书验证
- 3. go微服务系列(四) - gRPC入门
- 4. Go gRPC 系列八:对 RPC 方法作自定义认证
- 5. [系列] Go gRPC Hello World
- 6. Go gRPC 系列一:相关介绍
- 7. [系列] Go gRPC 调试工具
- 8. Golang gRPC实践 连载四 gRPC认证
- 9. Go gRPC 系列九:gRPC超时控制(Deadlines)
- 10. Go gRPC 系列十:gRPC+Zipkin 分布式链路追踪
- 更多相关文章...
- • 基于ARP协议进行扫描 - TCP/IP教程
- • traceroute命令进行路由跟踪 - TCP/IP教程
- • RxJava操作符(四)Combining
- • Docker容器实战(七) - 容器眼光下的文件系统
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
