Golang使用tls实现双向认证

接着上篇文章 Golang实现grpc单向认证

注意事项
前面我们生成的根证书是ca.crt,在双向认证时,我使用的是ca.pem,所以需要更改一下证书的类型。
只需将1.4的生成ca.crt的命令改为ca.pem即可

4 修改根证书生成命令

4.1.1 生成ca秘钥,得到ca.key【命令与1.2完全一致】

openssl genrsa -out ca.key 4096

4.1.2 生成ca证书签发请求,得到ca.csr【命令与1.3完全一致】

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

4.1.3 生成ca根证书,得到ca.pem的命令:

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.pem

4.2 修改服务端证书生成命令

4.2.1 生成秘钥,得到server.key【命令与2.2完全一致】

openssl genrsa -out server.key 2048

4.2.2 生成证书签发请求,得到server.csr【命令与2.3完全一致】

openssl req -new -sha256 -out server.csr -key server.key -config server.conf

4.2.3 用CA证书生成服务端证书,得到server.pem

openssl x509 -req -days 3650 -CA ca.pem -CAkey ca.key -CAcreateserial -in server.csr -out server.pem -extensions req_ext -extfile server.conf

4.3 在证书存放文件夹下,新建client.conf,写入内容如下:

#req 总配置
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name  #使用 req_distinguished_name配置模块
req_extensions     = req_ext  #使用 req_ext配置模块

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName                = Locality Name (eg, city)
localityName_default        = BeiJing
organizationName            = Organization Name (eg, company)
organizationName_default    = ChaoYang
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = ChaoYang #这里的Common Name 写主要域名即可(注意:这个域名也要在alt_names的DNS.x里) 此处尤为重要,需要用该服务名字填写到客户端的代码中

[ req_ext ]
subjectAltName = @alt_names #使用 alt_names配置模块

[alt_names]
DNS.1   = localhost
DNS.2   = ChaoYang.info
DNS.3   = www.ChaoYang.info
IP      = 127.0.0.1

4.4 生成秘钥,得到client.key

openssl ecparam -genkey -name secp384r1 -out client.key

4.5 生成证书签发请求,得到client.csr

openssl req -new -sha256 -out client.csr -key client.key -config client.conf

4.6 用CA证书生成客户端证书,得到client.pem

openssl x509 -req -days 3650 -CA ca.pem -CAkey ca.key -CAcreateserial -in client.csr -out client.pem -extensions req_ext -extfile client.conf

server

package main

import (
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"golang.org/x/net/context"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"net"
	"os"
	"rpc-demo/pb/pb" // 引入编译生成的包
)

const (
	// Address gRPC服务地址
	Address = "127.0.0.1:50052"
)

// 定义HelloService并实现约定的接口
type HelloService struct {
	pb.HelloServer
}

// SayHello 实现Hello服务接口
func (h *HelloService) SayHello(ctx context.Context, in *pb.HelloRequest) (*pb.HelloResponse, error) {
	resp := new(pb.HelloResponse)
	resp.Message = fmt.Sprintf("Hello %s.", in.Name)

	return resp, nil
}

func main() {
	listen, err := net.Listen("tcp", Address)
	if err != nil {
		grpclog.Fatalf("Failed to listen: %v", err)
	}
	// 实例化grpc Server
	//s := grpc.NewServer()
	// 证书认证-双向认证 TODO
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, _ := tls.LoadX509KeyPair("../cert/server.pem", "../cert/server.key")
	// 创建一个新的、空的 CertPool
	certPool := x509.NewCertPool()
	ca, _ := os.ReadFile("../cert/ca.pem")
	// 尝试解析所传入的 PEM 编码的证书。如果解析成功会将其加到 CertPool 中,便于后面的使用
	certPool.AppendCertsFromPEM(ca)
	// 构建基于 TLS 的 TransportCredentials 选项
	creds := credentials.NewTLS(&tls.Config{
		// 设置证书链,允许包含一个或多个
		Certificates: []tls.Certificate{cert},
		// 要求必须校验客户端的证书。可以根据实际情况选用以下参数
		ClientAuth: tls.RequireAndVerifyClientCert,
		// 设置根证书的集合,校验方式使用 ClientAuth 中设定的模式
		ClientCAs: certPool,
	})
	// 实例化grpc Server, 并开启TLS认证
	//单向 TODO
	//creds, err := credentials.NewServerTLSFromFile("../cert/server.pem", "../cert/server.key")
	//if err != nil {
	//	grpclog.Fatalf("Failed to generate credentials %v", err)
	//}
	s := grpc.NewServer(grpc.Creds(creds))
	// 注册HelloService
	pb.RegisterHelloServer(s, &HelloService{})
	fmt.Println("Listen on " + Address)
	err = s.Serve(listen)
	if err != nil {
		fmt.Println(err)
	}
}

client

package main

import (
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"golang.org/x/net/context"
	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
	"google.golang.org/grpc/grpclog"
	"os"
	pb "rpc-demo/pb/pb" // 引入proto包
)

const (
	// Address gRPC服务地址
	Address = "127.0.0.1:50052"
)

func main() {
	// 连接
	// TLS连接  记得把server name改成你写的服务器地址
	// 证书认证-双向认证 TODO
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	// 证书认证-双向认证
	// 从证书相关文件中读取和解析信息,得到证书公钥、密钥对
	cert, _ := tls.LoadX509KeyPair("../cert/client.pem", "../cert/client.key")
	// 创建一个新的、空的 CertPool
	certPool := x509.NewCertPool()
	ca, _ := os.ReadFile("../cert/ca.pem")
	// 尝试解析所传入的 PEM 编码的证书。如果解析成功会将其加到 CertPool 中,便于后面的使用
	certPool.AppendCertsFromPEM(ca)
	// 构建基于 TLS 的 TransportCredentials 选项
	creds := credentials.NewTLS(&tls.Config{
		// 设置证书链,允许包含一个或多个
		Certificates: []tls.Certificate{cert},
		// 要求必须校验客户端的证书。可以根据实际情况选用以下参数
		ServerName: "ximu.info",
		RootCAs:    certPool,
	})
	//单向 TODO
	//creds, err := credentials.NewClientTLSFromFile("../cert/server.pem", "localhost")
	//if err != nil {
	//	grpclog.Fatalf("Failed to create TLS credentials %v", err)
	//}
	conn, err := grpc.Dial(Address, grpc.WithTransportCredentials(creds))
	//conn, err := grpc.Dial(Address, grpc.WithTransportCredentials(insecure.NewCredentials()))
	if err != nil {
		grpclog.Fatalln(err)
	}
	defer conn.Close()

	// 初始化客户端
	c := pb.NewHelloClient(conn)

	// 调用方法
	req := &pb.HelloRequest{Name: "gRPC"}
	res, err := c.SayHello(context.Background(), req)

	if err != nil {
		grpclog.Fatalln(err)
	}

	fmt.Println(res.Message)
}

posted @ 2023-11-06 16:17  朝阳1  阅读(626)  评论(0编辑  收藏  举报