前言
前几篇文章大家看到的例子,通信双方都是没有经过 TLS 加密的。可以看下下面的抓包数据,都是明文的,生产环境上数据是绝对不允许这样“裸奔”的,数据容易被篡改。
conn, err := grpc.Dial(addr,grpc.WithInsecure())
接下来这篇文章就来给大家介绍下使用 TLS 加密数据。
生成证书
Go 1.15 版本开始废弃 CommonName[1],因此推荐使用 SAN 证书。如果想兼容之前的方式,需要设置环境变量 GODEBUG 为 x509ignoreCN=0。
这篇文章我们使用 SAN 证书。使用如下命令生成证书:
生成私钥
openssl genrsa -out server.key 2048
证书文件
openssl req -nodes -new -x509 -sha256 -days 1825 -config openssl.cnf -extensions 'req_ext' -key server.key -out server.crt
openssl x509 -in server.crt -text
上述命令依赖文件 openssl.cnf
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C = CN
ST = ZheJiang
L = Hangzhou
O = Seekload Ltd.
OU = Information Technologies
emailAddress = email@email.com
CN = localhost
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = localhost
DNS.2 = seekload.net
DNS.3 = www.seekload.net
执行完上述命令之后,会在目录下生成文件 server.key、server.crt。我们就可以拿这两个文件来加密数据。
关于证书的生成大家可以看下文末的参考文章,就不在这赘述。
Server端
package main
import (
"context"
pb "go-grpc-example/5-security/proto"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"log"
"net"
)
const (
Address string = ":8000"
Network string = "tcp"
)
type SimpleService struct{}
func (s *SimpleService) GetSimpleInfo(ctx context.Context, req *pb.SimpleRequest) (*pb.SimpleResponse, error) {
data := req.Data
log.Println("get from client: ", data)
resp := pb.SimpleResponse{
Code: 1,
Value: "gRPC",
}
return &resp, nil
}
func main() {
// 1.监听端口
listener, err := net.Listen(Network, Address)
if err != nil {
log.Fatalf("listener err: %v", err)
}
log.Println(Address + " net.Listing...")
// 为服务端构造TLS凭证
creds, err := credentials.NewServerTLSFromFile("../cert/server.crt", "../cert/server.key")
if err != nil {
log.Fatalf("Failed to generate credentials %v", err)
}
// 2.实例化gRPC实例
grpcServer := grpc.NewServer(grpc.Creds(creds))
// 3.注册我们的服务
pb.RegisterSimpleServer(grpcServer, &SimpleService{})
// 4.启动gRPC服务端
err = grpcServer.Serve(listener)
if err != nil {
log.Fatalf("grpc server err: %v", err)
}
}
服务端代码修改点:
- credentials.NewServerTLSFromFile() 根据服务端输入的证书文件和私钥构造 TLS 凭证;
- grpc.Creds():返回一个 ServerOption,用于设置服务器连接的凭据;
Client端
package main
import (
"context"
pb "go-grpc-example/5-security/proto"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"log"
)
const Address string = ":8000"
func main() {
// 为客户端构造TLS凭证
creds, err := credentials.NewClientTLSFromFile("../cert/server.crt", "localhost")
if err != nil {
log.Fatalf("Failed to create TLS credentials %v", err)
}
var DialOptions = []grpc.DialOption{
grpc.WithTransportCredentials(creds),
}
// 连接服务端
conn, err := grpc.Dial(Address, DialOptions...)
if err != nil {
log.Fatalf("grpc conn err: %v", err)
}
defer conn.Close()
// 创建gRPC客户端
grpcClient := pb.NewSimpleClient(conn)
res := pb.SimpleRequest{
Data: "seekload",
}
resp, err := grpcClient.GetSimpleInfo(context.Background(), &res)
if err != nil {
log.Fatalf("stream get from server err: %v", err)
}
log.Printf("get from server,code: %v,value: %v", resp.Code, resp.Value)
}
客户端修改点:
- credentials.NewClientTLSFromFile() 从输入的证书文件中为客户端构造TLS凭证;
- grpc.WithTransportCredentials() 指定安全连接,返回一个 DialOption,用于连接服务器。
验证
到此就已经完成 TLS 证书认证,gRPC 传输不再是明文传输,一起来验证看下
运行服务端:
go run server.go
:8000 net.Listing...
get from client: seekload
运行客户端:
go run client.go
get from server,code: 1,value: gRPC
抓包看下:
数据已经加密无疑。
总结
这篇文章给大家简单介绍了使用 SAN 证书实现 TLS 加密,保证数据安全。
参考文章:
1.https://eddycjy.com/posts/go/grpc/2018-10-07-grpc-tls/
3.https://lixueduan.com/post/grpc/04-encryption-tls/
参考资料
[1]
CommonName: https://golang.org/doc/go1.15#commonname
资料下载
- 回复「电子书」,获取入门、进阶 Go 语言必看书籍。
- 回复「视频」,获取价值 5000 大洋的视频资料,内含实战项目(不外传)!
- 回复「路线」,获取最新版 Go 知识图谱及学习、成长路线图。
- 回复「面试题」,获取四哥精编的 Go 语言面试题,含解析。
- 回复「后台」,获取后台开发必看 10 本书籍。
如果您的朋友也在学习 gRPC,相信这篇文章对 TA 有帮助,欢迎转发分享给 TA,非常感谢!