帶入gRPC:基於 CA 的 TLS 證書認證
原文地址:帶入gRPC:基於 CA 的 TLS 證書認證
項目地址:https://github.com/EDDYCJY/go...
前言
在上一章節中,我們提出了一個問題。就是如何保證證書的可靠性和有效性?你如何確定你 Server、Client 的證書是對的呢?
CA
爲了保證證書的可靠性和有效性,在這裏可引入 CA 頒發的根證書的概念。其遵守 X.509 標準
根證書
根證書(root certificate)是屬於根證書頒發機構(CA)的公鑰證書。我們可以通過驗證 CA 的簽名從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書(客戶端、服務端)
它包含的文件如下:
- 公鑰
- 密鑰
生成 Key
openssl genrsa -out ca.key 2048
生成密鑰
openssl req -new -x509 -days 7200 -key ca.key -out ca.pem
填寫信息
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:go-grpc-example
Email Address []:
Server
生成 CSR
openssl req -new -key server.key -out server.csr
填寫信息
Country Name (2 letter code) []:
State or Province Name (full name) []:
Locality Name (eg, city) []:
Organization Name (eg, company) []:
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:go-grpc-example
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
CSR 是 Cerificate Signing Request 的英文縮寫,爲證書請求文件。主要作用是 CA 會利用 CSR 文件進行簽名使得攻擊者無法僞裝或篡改原有證書
基於 CA 簽發
openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in server.csr -out server.pem
Client
生成 Key
openssl ecparam -genkey -name secp384r1 -out client.key
生成 CSR
openssl req -new -key client.key -out client.csr
基於 CA 簽發
openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in client.csr -out client.pem
整理目錄
至此我們生成了一堆文件,請按照以下目錄結構存放:
$ tree conf
conf
├── ca.key
├── ca.pem
├── ca.srl
├── client
│ ├── client.csr
│ ├── client.key
│ └── client.pem
└── server
├── server.csr
├── server.key
└── server.pem
另外有一些文件是不應該出現在倉庫內,應當保密或刪除的。但爲了真實演示所以保留着(敲黑板)
gRPC
接下來將正式開始針對 gRPC 進行編碼,改造上一章節的代碼。目標是基於 CA 進行 TLS 認證 🤫
Server
package main
import (
"context"
"log"
"net"
"crypto/tls"
"crypto/x509"
"io/ioutil"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
pb "github.com/EDDYCJY/go-grpc-example/proto"
)
...
const PORT = "9001"
func main() {
cert, err := tls.LoadX509KeyPair("../../conf/server/server.pem", "../../conf/server/server.key")
if err != nil {
log.Fatalf("tls.LoadX509KeyPair err: %v", err)
}
certPool := x509.NewCertPool()
ca, err := ioutil.ReadFile("../../conf/ca.pem")
if err != nil {
log.Fatalf("ioutil.ReadFile err: %v", err)
}
if ok := certPool.AppendCertsFromPEM(ca); !ok {
log.Fatalf("certPool.AppendCertsFromPEM err")
}
c := credentials.NewTLS(&tls.Config{
Certificates: []tls.Certificate{cert},
ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: certPool,
})
server := grpc.NewServer(grpc.Creds(c))
pb.RegisterSearchServiceServer(server, &SearchService{})
lis, err := net.Listen("tcp", ":"+PORT)
if err != nil {
log.Fatalf("net.Listen err: %v", err)
}
server.Serve(lis)
}
- tls.LoadX509KeyPair():從證書相關文件中讀取和解析信息,得到證書公鑰、密鑰對
func LoadX509KeyPair(certFile, keyFile string) (Certificate, error) {
certPEMBlock, err := ioutil.ReadFile(certFile)
if err != nil {
return Certificate{}, err
}
keyPEMBlock, err := ioutil.ReadFile(keyFile)
if err != nil {
return Certificate{}, err
}
return X509KeyPair(certPEMBlock, keyPEMBlock)
}
- x509.NewCertPool():創建一個新的、空的 CertPool
- certPool.AppendCertsFromPEM():嘗試解析所傳入的 PEM 編碼的證書。如果解析成功會將其加到 CertPool 中,便於後面的使用
- credentials.NewTLS:構建基於 TLS 的 TransportCredentials 選項
- tls.Config:Config 結構用於配置 TLS 客戶端或服務器
在 Server,共使用了三個 Config 配置項:
(1)Certificates:設置證書鏈,允許包含一個或多個
(2)ClientAuth:要求必須校驗客戶端的證書。可以根據實際情況選用以下參數:
const (
NoClientCert ClientAuthType = iota
RequestClientCert
RequireAnyClientCert
VerifyClientCertIfGiven
RequireAndVerifyClientCert
)
(3)ClientCAs:設置根證書的集合,校驗方式使用 ClientAuth 中設定的模式
Client
package main
import (
"context"
"crypto/tls"
"crypto/x509"
"io/ioutil"
"log"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
pb "github.com/EDDYCJY/go-grpc-example/proto"
)
const PORT = "9001"
func main() {
cert, err := tls.LoadX509KeyPair("../../conf/client/client.pem", "../../conf/client/client.key")
if err != nil {
log.Fatalf("tls.LoadX509KeyPair err: %v", err)
}
certPool := x509.NewCertPool()
ca, err := ioutil.ReadFile("../../conf/ca.pem")
if err != nil {
log.Fatalf("ioutil.ReadFile err: %v", err)
}
if ok := certPool.AppendCertsFromPEM(ca); !ok {
log.Fatalf("certPool.AppendCertsFromPEM err")
}
c := credentials.NewTLS(&tls.Config{
Certificates: []tls.Certificate{cert},
ServerName: "go-grpc-example",
RootCAs: certPool,
})
conn, err := grpc.Dial(":"+PORT, grpc.WithTransportCredentials(c))
if err != nil {
log.Fatalf("grpc.Dial err: %v", err)
}
defer conn.Close()
client := pb.NewSearchServiceClient(conn)
resp, err := client.Search(context.Background(), &pb.SearchRequest{
Request: "gRPC",
})
if err != nil {
log.Fatalf("client.Search err: %v", err)
}
log.Printf("resp: %s", resp.GetResponse())
}
在 Client 中絕大部分與 Server 一致,不同點的地方是,在 Client 請求 Server 端時,Client 端會使用根證書和 ServerName 去對 Server 端進行校驗
簡單流程大致如下:
- Client 通過請求得到 Server 端的證書
- 使用 CA 認證的根證書對 Server 端的證書進行可靠性、有效性等校驗
- 校驗 ServerName 是否可用、有效
當然了,在設置了 tls.RequireAndVerifyClientCert
模式的情況下,Server 也會使用 CA 認證的根證書對 Client 端的證書進行可靠性、有效性等校驗。也就是兩邊都會進行校驗,極大的保證了安全性 👍
驗證
重新啓動 server.go 和執行 client.go,查看響應結果是否正常
總結
在本章節,我們使用 CA 頒發的根證書對客戶端、服務端的證書進行了簽發。進一步的提高了兩者的通訊安全
這回是真的大功告成了!