gRPC入门指南 — 通过TLS建立安全连接（五）

前几篇文章大家看到的例子，通信双方都是没有经过 TLS 加密的。可以看下下面的抓包数据，都是明文的，生产环境上数据是绝对不允许这样“裸奔”的，数据容易被篡改。

conn, err := grpc.Dial(addr,grpc.WithInsecure())

接下来这篇文章就来给大家介绍下使用 TLS 加密数据。

生成证书

Go 1.15 版本开始废弃 CommonName^[1]，因此推荐使用 SAN 证书。如果想兼容之前的方式，需要设置环境变量 GODEBUG 为 x509ignoreCN=0。

这篇文章我们使用 SAN 证书。使用如下命令生成证书：

生成私钥
openssl genrsa -out server.key 2048

证书文件
openssl req -nodes -new -x509 -sha256 -days 1825 -config openssl.cnf -extensions 'req_ext' -key server.key -out server.crt

openssl x509 -in server.crt -text

上述命令依赖文件 openssl.cnf

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = CN
ST = ZheJiang
L = Hangzhou
O = Seekload Ltd.
OU = Information Technologies
emailAddress = email@email.com
CN = localhost

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = localhost
DNS.2 = seekload.net
DNS.3 = www.seekload.net

执行完上述命令之后，会在目录下生成文件 server.key、server.crt。我们就可以拿这两个文件来加密数据。

关于证书的生成大家可以看下文末的参考文章，就不在这赘述。

Server端

package main

import (
 "context"
 pb "go-grpc-example/5-security/proto"
 "google.golang.org/grpc"
 "google.golang.org/grpc/credentials"
 "log"
 "net"
)

const (
 Address string = ":8000"
 Network string = "tcp"
)

type SimpleService struct{}

func (s *SimpleService) GetSimpleInfo(ctx context.Context, req *pb.SimpleRequest) (*pb.SimpleResponse, error) {
 data := req.Data
 log.Println("get from client: ", data)
 resp := pb.SimpleResponse{
  Code:  1,
  Value: "gRPC",
 }
 return &resp, nil
}

func main() {
 // 1.监听端口
 listener, err := net.Listen(Network, Address)
 if err != nil {
  log.Fatalf("listener err: %v", err)
 }
 log.Println(Address + " net.Listing...")

 // 为服务端构造TLS凭证
 creds, err := credentials.NewServerTLSFromFile("../cert/server.crt", "../cert/server.key")
 if err != nil {
  log.Fatalf("Failed to generate credentials %v", err)
 }

 // 2.实例化gRPC实例
 grpcServer := grpc.NewServer(grpc.Creds(creds))

 // 3.注册我们的服务
 pb.RegisterSimpleServer(grpcServer, &SimpleService{})

 // 4.启动gRPC服务端
 err = grpcServer.Serve(listener)
 if err != nil {
  log.Fatalf("grpc server err: %v", err)
 }
}

服务端代码修改点：

• credentials.NewServerTLSFromFile() 根据服务端输入的证书文件和私钥构造 TLS 凭证；
• grpc.Creds()：返回一个 ServerOption，用于设置服务器连接的凭据；

Client端

package main

import (
 "context"
 pb "go-grpc-example/5-security/proto"
 "google.golang.org/grpc"
 "google.golang.org/grpc/credentials"
 "log"
)

const Address string = ":8000"

func main() {
 // 为客户端构造TLS凭证
 creds, err := credentials.NewClientTLSFromFile("../cert/server.crt", "localhost")
 if err != nil {
  log.Fatalf("Failed to create TLS credentials %v", err)
 }

 var DialOptions = []grpc.DialOption{
  grpc.WithTransportCredentials(creds),
 }

 // 连接服务端
 conn, err := grpc.Dial(Address, DialOptions...)
 if err != nil {
  log.Fatalf("grpc conn err: %v", err)
 }
 defer conn.Close()

 // 创建gRPC客户端
 grpcClient := pb.NewSimpleClient(conn)

 res := pb.SimpleRequest{
  Data: "seekload",
 }
 resp, err := grpcClient.GetSimpleInfo(context.Background(), &res)
 if err != nil {
  log.Fatalf("stream get from server err: %v", err)
 }
 log.Printf("get from server,code: %v,value: %v", resp.Code, resp.Value)
}

客户端修改点：

• credentials.NewClientTLSFromFile() 从输入的证书文件中为客户端构造TLS凭证；
• grpc.WithTransportCredentials() 指定安全连接，返回一个 DialOption，用于连接服务器。

验证

到此就已经完成 TLS 证书认证，gRPC 传输不再是明文传输，一起来验证看下

运行服务端：

go run server.go

:8000 net.Listing...
get from client:  seekload

运行客户端：

go run client.go
get from server,code: 1,value: gRPC

抓包看下：

数据已经加密无疑。

总结

这篇文章给大家简单介绍了使用 SAN 证书实现 TLS 加密，保证数据安全。

参考文章：
1.https://eddycjy.com/posts/go/grpc/2018-10-07-grpc-tls/
2.https://www.cnblogs.com/jackluo/p/13841286.html
3.https://lixueduan.com/post/grpc/04-encryption-tls/

推荐阅读

• gRPC入门指南 — 双向流式RPC（四）