Golang gRPC: 基于CA证书的双向TLS认证

已于 2022-04-18 21:03:40 修改
阅读量1.7k 收藏 3
点赞数
分类专栏: Golang 文章标签: golang rpc
于 2022-04-18 15:28:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41335923/article/details/124250753
版权
本文介绍了如何在Golang gRPC中实现基于CA证书的双向TLS(mTLS)认证,以确保通信的安全性。通过代码剖析展示了服务器和客户端的配置方法,并提供了代码仓库链接供参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

Golang gRPC: 基于CA证书的双向TLS认证

在上一篇文章Golang 学习之 grpc 的使用中介绍了 gRPC 的使用,并使用官方 example 来举例解读

在这里先看一下对 gRPC 的传输抓包
在这里插入图片描述

可以看到 gRPC Client/Server 都是明文加密的;在真实场景中,就会有可能被第三方恶意篡改或伪造 “非法” 数据,因此我们需要对 gRPC 进行加密传输处理

Golang 提供了两种加密示例 ATLS 和 TLS,笔者使用的是双向 TLS (mTLS),客户端和服务端相互验证

TLS 传输抓包
在这里插入图片描述

ATLS

ATLS 目前需要 GCP 的特殊早期访问权限

ATLS 是谷歌的应用层传输安全,支持相互认证和传输加密;但目前 ATLS 之支持在 Google Cloud Platform 上运行;与 TLS 不同,ATLS 的证书/密钥管理对用户透明,更容易设置

TLS

TLS 是一种常用的加密协议,用于提供端到端的通信安全性。

在正常的 TLS 中,服务器只关心提供服务器证书供客户端验证;在双向 TLS 中,服务器还加载受信任的 CA 文件列表,用于验证客户端提供的证书
在普通的 TLS 中,客户端只关心使用一个或多个受信任的 CA 文件对服务器进行身份验证;在双向 TLS 中,客户端还将客户端证书提供给服务器进行身份验证

代码剖析

这里分析一下 mTLS 模式的 gRPC 代码,有关证书的生成可以参考 带入gRPC:基于 CA 的 TLS 证书认证 或者 官方的脚本生成 create.sh

Server

package main

import (
	"context"
	"crypto/tls"
	"crypto/x509"
	"flag"
	"fmt"
	"io/ioutil"
	"log"
	"net"

	pb "go-grpc-CA/proto"

	"google.golang.org/grpc"
	"google.golang.org/grpc/credentials"
)

var port = flag.Int("port", 50051, "the port to serve on")

type ecServer struct {
   
	pb.UnimplementedEchoServer
}

func (s *ecServer) UnaryEcho(ctx context.Context, req *pb.EchoRequest) (*pb.EchoResponse, error) {
   
	return &pb.EchoResponse{
   Message: req.Message}, nil
}

func
最低0.47元/天 解锁文章
Go微服务五 Go - gRPC 中的TLS认证
太阳上的雨天
03-20 807
介绍 在上一篇中简单介绍了 在go中gRPC的使用,但是无签名的认证。这一篇简单介绍生成cert进行TLS认证的调用 代码较上一篇改动不大。包含使用openssl生成ca证书 证书生成流程 新增ca.conf [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = CN countryNam
grpc、https、oauth2等认证专栏实战15:grpc双向认证介绍
码二哥的技术池
10-24 833
2.3.1、第一步:生成服务器端密钥和服务器端证书签名 (非SAN类型,客户端不需要被访问,不需要添加额外的域名)请求域名www.golang-server.cn要在客户端一侧进行配置,因为是在客户端一侧进行的发起的访问请求。2.2.1、第一步:生成服务器端密钥和服务器端证书签名 (SAN类型,即多个域名生效)4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。2.2.2、第二步:根据CA证书,来颁发服务器端证书。2.3.2、第二步:根据CA证书,来颁发客户端证书
带入gRPC:基于 CATLS 证书认证
weixin_34175509的博客
10-08 1014
带入gRPC:基于 CATLS 证书认证 原文地址:带入gRPC:基于 CATLS 证书认证项目地址:https://github.com/EDDYCJY/go... 前言 在上一章节中,我们提出了一个问题。就是如何保证证书的可靠性和有效性?你如何确定你 Server、Client 的证书是对的呢? CA 为了保证证书的可靠性...
golang工程——grpc TLS配置
qq_43058348的博客
09-27 624
至此加密通信所用的秘钥都已生成,在此之前都是明文发送。客户端通知服务器启用加密通信并加密发送之前所发信息的摘要,服务器也做一样的事,用于验证加密通信是否可行。发送的两个消息分别是“Change Cipher Spec”和“Finished”。之后就可使用加密的Http请求和响应。上述方式验证了服务器的安全性,而服务器验证客户端可用更多方式,比如账号密码,此时已经达到了加密通信的标准。更深层次的客户端验证,也可Client Hello中出示客户端证书,用以验证。可以理解成多一个反过来的流程,双方对等。
Golang TLS双向身份认证DoS漏洞分析(CVE-2018-16875)
QQ1528884535的专栏
12-12 524
原文作者:apisecurity翻译来源:安全客原文链接:https://apisecurity.io/mutual-tls-authentication-vulnerability-i...
Golang | gRPC】使用TLS/SSL认证gRPC服务
土豆
07-03 2134
环境: Golang: go1.18.2 windows/amd64 grpc: v1.47.0 protobuf: v1.28.0 OpenSSL: 3.0.4完整代码: https://github.com/WanshanTian/GolangLearning cd GolangLearning/RPC/gRPC-cred支持很多认证机制,如:, ,,同时支持以插件的方式使用自定义的认证机制。 本文主要介绍认证机制的使用【Golang | gRPC】使用gRPC实现简单远程调用 实现了无认证gRPC
golang工程组件篇:高性能RPC框架gRPCTLS双向TLS确保通讯安全
SMILY12138的博客
05-24 726
上述代码中,我们使用credentials.NewClientTLSFromFile()方法创建了一个客户端TLS凭证对象,并将其作为grpc.WithTransportCredentials()选项传递给grpc.Dial()方法。上述代码中,我们使用credentials.NewClientTLSFromFile()方法创建了一个客户端TLS凭证对象,并将其作为grpc.WithTransportCredentials()选项传递给grpc.Dial()方法。第一步是生成证书和私钥文件,与TLS相同。
gRPC 基于 CATLS 证书认证
EDDYCJY的博客
09-23 1079
前言在上一章节中,我们提出了一个问题。就是如何保证证书的可靠性和有效性?你如何确定你 Server、Client 的证书是对的呢?CA为了保证证书的可靠性和有效性,在这里...
grpc、https、oauth2等认证专栏实战14:grpc单向认证介绍
码二哥的技术池
10-10 924
当前版本,使用postman作为客户端不验证服务器端的证书,这种功能未发现。4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。关于域名设置,本次测试时,grpc服务器端和grpc客户端都在同一个IP下,因为是单向认证,不需要验证客户端的证书,即也就不需要加载客户端的根证书。单向认证时,服务器端的证书,可以使用自签证书,也可以使用非自签证书。2.1、方式一:使用自签证书,作为服务器端的证书。服务器端,只需要加载自己的证书证书密钥即可。已发表的技术专栏(订阅即可观看所有专栏)
golang 实现ca证书,RSA非对称加密解密工具
weixin_38805083的博客
04-22 1265
[golang 实现ca证书,RSA非对称加密解密工具] OpenSSL费时费力,命令不一定正确。用golang代码生成证书,方便快捷。 参考代码如下 /* * Copyright 2014 Jason Woods. * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * You may
golang https的单向认证双向认证
赵凯月的博客
10-30 889
【代码】golang https的单向认证双向认证
使用golang进行证书签发和双向认证
weixin_34419326的博客
06-05 3409
前言 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书签发涉及到了非对称加密方面的知识,这里介绍使用golang中的x509标准库进行证书自签发,还有证书签发后如何使用golang进行双向认证. 自签发证书 生成根证书证书CA认证中心给自己颁发的证书,是信任链的起始点.这里我们自己做CA使用ope...
Golang | Go RPC & TLS 鉴权
雨下一整晚real的博客
12-29 1276
RPC () 是一种远程通信协议,用于让不同服务之间进行通信。相比 HTTP,RPC 在传输信息时会减少一些额外的信息。HTTP 是实现 RPC 的一种手段,RPC 常见的实现有很多,比如 Dubbo、gRPC、Hessian 等。远程过程调用,实际上最终是一个调用。相比于本地调用,RPC 还需要知道对向的地址信息。本地调用就如同两个人面对面交流,RPC 则像是两个人打电话,需要知道对方的手机号码,但是并不关心语音怎么编码、传输、解码的过程。提供服务的一端,我们称为服务端,就好比是接听电话的一端。
使用Go基于国密算法实现双向认证
TonyBai
07-18 6386
国内做2B(to Biz)或2G(to Gov)产品和解决方案的企业都绕不过国密算法,越来越多的国内甲方在采购需求中包含了基于国密算法的认证、签名、加密等需求。对于国内的车联网平台来说,支持基于国密的双向认证也是大势所趋。在这篇文章中,我就来说说如何基于国密算法实现双向认证,即使用国密算法的安全传输层双向认证。一. 简要回顾基于TLS双向认证在《Go语言精进之路》[1]...
Go微服务六 Go - gRPC - TLS 使用rpc-gatway 不同端口同时提供rpc和http服务 客户端rpc和http选其一调用
太阳上的雨天
03-21 509
为什么要这么做: 不管时内部另外一个服务还是外部第三方服务,如果调用者也使用了rpc,可以调用写好的服务端。 如果调用者没有使用rpc而使用了http RESTFUL API ,那就要使用roc-gatway提供http服务了 简而言之:一个商品详情服务接口即可以提供rpc也可以支持http RESUTFUL API (rpc和api不同的启动端口) 一 安装 go install github.com/grpc-ecosystem/grpc-gateway/v2/protoc-gen-grpc-gatew
Golang——gRPC认证和拦截器
最新发布
weixin_57023347的博客
06-11 1461
TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。Token认证是一种基于Token的身份验证方法,用于在客户端和服务器之间进行身份验证。主要概念Token的含义:Token(令牌)是服务端生成的一串字符串,作为客户端进行请求的一个标识。Token的组成。
grpcTLS认证使用
a...Z
06-02 645
Tls证书认证 安装证书 私钥 openssl ecparam -genkey -name secp384r1 -out server.key openssl genrsa:生成RSA私钥,命令的最后一个参数,将指定生成密钥的位数,如果没有指定,默认512 openssl ecparam:生成ECC私钥,命令为椭圆曲线密钥参数生成及操作,本文中ECC曲线选择的是secp384r1 自签名公钥 openssl req -new -x509 -sha256 -key server.key -out ser
golanggRpc的安装&goland 插件protobuf support
热门推荐
u010931295的博客
09-22 1万+
golang安装gRpc 2017年09月29日 14:00:56 钟声响起 阅读数:2517更多 个人分类: 新技术研究 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.youkuaiyun.com/cjj198561/article/details/78133193 安装官方安装命令: go get google.golang.org/grpc 是安装不起的,会报: pac...
gRPC教程 — TLS单向认证双向认证、Token认证、拦截器
Mr_XiMu的博客
05-23 6631
gRPC教程 — TLS单向认证双向认证、Token认证、拦截器
Calico应用层策略与Golang开发整合解析
Istio通过分发所谓的“加密身份”给每个服务,这些身份是由Istio CA签发的证书。 ### Calico与Istio的整合 当Calico与Istio整合时,Calico能够使用Istio提供的加密身份和网络层属性来实施应用程序层策略。这意味着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值