摘要:带入基于的证书认证原文地址带入基于的证书认证项目地址前言在上一章节中,我们提出了一个问题。其遵守标准根证书根证书是属于根证书颁发机构的公钥证书。目标是基于进行认证
带入gRPC:基于 CA 的 TLS 证书认证
原文地址:带入gRPC:基于 CA 的 TLS 证书认证
项目地址:https://github.com/EDDYCJY/go...
在上一章节中,我们提出了一个问题。就是如何保证证书的可靠性和有效性?你如何确定你 Server、Client 的证书是对的呢?
CA为了保证证书的可靠性和有效性,在这里可引入 CA 颁发的根证书的概念。其遵守 X.509 标准
根证书根证书(root certificate)是属于根证书颁发机构(CA)的公钥证书。我们可以通过验证 CA 的签名从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书(客户端、服务端)
它包含的文件如下:
公钥
密钥
生成 Keyopenssl genrsa -out ca.key 2048生成密钥
openssl req -new -x509 -days 7200 -key ca.key -out ca.pem填写信息
Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:go-grpc-example Email Address []:Server 生成 CSR
openssl req -new -key server.key -out server.csr
Country Name (2 letter code) []: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []: Organizational Unit Name (eg, section) []: Common Name (eg, fully qualified host name) []:go-grpc-example Email Address []: Please enter the following "extra" attributes to be sent with your certificate request A challenge password []:
CSR 是 Cerificate Signing Request 的英文缩写,为证书请求文件。主要作用是 CA 会利用 CSR 文件进行签名使得攻击者无法伪装或篡改原有证书
基于 CA 签发openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in server.csr -out server.pemClient 生成 Key
openssl ecparam -genkey -name secp384r1 -out client.key生成 CSR
openssl req -new -key client.key -out client.csr基于 CA 签发
openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in client.csr -out client.pem整理目录
至此我们生成了一堆文件,请按照以下目录结构存放:
$ tree conf
conf
├── ca.key
├── ca.pem
├── ca.srl
├── client
│ ├── client.csr
│ ├── client.key
│ └── client.pem
└── server
├── server.csr
├── server.key
└── server.pem
另外有一些文件是不应该出现在仓库内,应当保密或删除的。但为了真实演示所以保留着(敲黑板)
gRPC接下来将正式开始针对 gRPC 进行编码,改造上一章节的代码。目标是基于 CA 进行 TLS 认证
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/29473.html
摘要:带入对方法做自定义认证原文地址带入对方法做自定义认证项目地址前言在前面的章节中,我们介绍了两种证书算一种可全局认证的方法证书认证基于的证书认证而在实际需求中,常常会对某些模块的方法做特殊认证或校验。 带入gRPC:对 RPC 方法做自定义认证 原文地址:带入gRPC:对 RPC 方法做自定义认证项目地址:https://github.com/EDDYCJY/go... 前言 在前面的章...
摘要:带入证书认证原文地址带入证书认证项目地址前言在前面的章节里,我们介绍了的四种使用方式。 带入gRPC:TLS 证书认证 原文地址:带入gRPC:TLS 证书认证项目地址:https://github.com/EDDYCJY/go... 前言 在前面的章节里,我们介绍了 gRPC 的四种 API 使用方式。是不是很简单呢
摘要:协议位于协议与各种应用层协议之间,为数据通讯提供安全支持。该协议由两层组成记录协议和握手协议。改进的已完成消息验证和都对两个端点提供已完成的消息,该消息认证交换的消息没有被变更。颁发证书的同时会产生一个私钥和公钥。 本文大部分整理自网络,相关文章请见文后参考。 关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 ,如果你想快速自建CA然后签发数...
摘要:协议位于协议与各种应用层协议之间,为数据通讯提供安全支持。该协议由两层组成记录协议和握手协议。改进的已完成消息验证和都对两个端点提供已完成的消息,该消息认证交换的消息没有被变更。颁发证书的同时会产生一个私钥和公钥。 本文大部分整理自网络,相关文章请见文后参考。 关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 ,如果你想快速自建CA然后签发数...
摘要:以下根据,介绍协议组成协议由两层构成和。消息的传输包括了基于密钥的消息认证码,使用安全函数计算,用于完整性检查。用于封装多种高层的协议,其中一个种就是,这种协议允许客户与服务器相互认证,在应用程序通信前,协商加密算法和加密密钥。 作者:drinkey 以前读RFC时总结的一篇文章,主要介绍了SSL/TLS协议的相关知识,包括协议本身以及简单的密码学概念,以及用实例解析了HTTP ov...
阅读 3185·2021-10-08 10:04
阅读 1222·2021-09-22 10:02
阅读 1716·2021-09-10 10:50
阅读 1343·2021-09-08 09:35
阅读 3707·2021-08-12 13:29
阅读 2365·2019-08-30 15:55
阅读 2117·2019-08-30 15:53
阅读 2162·2019-08-29 17:13
