openssl 证书生成学习笔记（go 1.15版本以上） | 周末学习

2023-07-18 118

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： golang 1.15+版本上，用 gRPC通过TLS实现数据传输加密时，会报错证书的问题

openssl证书生成

本文已参与周末学习计划，点击链接查看详情：juejin.cn/post/696572…

问题

golang 1.15+版本上，用 gRPC通过TLS实现数据传输加密时，会报错证书的问题

rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: x509: certificate is valid for www.eline.com, not xxx"panic: rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: x509: certificate is valid for www.eline.com, not xxx"

造成的原因是因为我们用的证书，并没有开启SAN扩展（默认是没有开启SAN扩展）所生成的，

导致客户端和服务端无法建立连接

开始解决问题

使用开启扩展SAN的证书

什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书，可以扩展此证书支持的域名，使得一个证书可以支持多个不同域名的解析。

生成CA根证书

新建 ca.conf

vim ca.conf

写入内容如下:

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Ted CA Test

生成ca秘钥，得到ca.key

openssl genrsa -out ca.key 4096

生成ca证书签发请求，得到ca.csr

openssl req \
  -new \
  -sha256 \
  -out ca.csr \
  -key ca.key \
  -config ca.conf

shell交互时一路回车就行

生成ca根证书，得到ca.crt

openssl x509 \
    -req \
    -days 3650 \
    -in ca.csr \
    -signkey ca.key \
    -out ca.crt

生成终端用户证书

准备配置文件，得到server.conf

新建 server.conf

vim server.conf

写入内容如下:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext
[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = xiamotong    # 此处尤为重要，需要用该服务名字填写到客户端的代码中
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1   = www.xiaomotong.com
IP      = 127.0.0.1

生成秘钥，得到server.key

openssl genrsa -out server.key 2048

生成证书签发请求，得到server.csr

openssl req \
  -new \
  -sha256 \
  -out server.csr \
  -key server.key \
  -config server.conf

shell交互时一路回车就行

用CA证书生成终端用户证书，得到server.crt

openssl x509 \
  -req \
  -days 3650 \
  -CA ca.crt \
  -CAkey ca.key \
  -CAcreateserial \
  -in server.csr \
  -out server.pem\
  -extensions req_ext \
  -extfile server.conf

现在证书已经生成完毕， server.pem 和 server.key就是我们需要的证书和密钥

creds, err := credentials.NewServerTLSFromFile("./keys/server.pem", "./keys/server.key")

客户端代码：

creds, err := credentials.NewClientTLSFromFile("./keys/server.pem", "xiaomotong")

好了，本次就到这里，下一次分享 gRPC的interceptor

技术是开放的，我们的心态，更应是开放的。拥抱变化，向阳而生，努力向前行。

欢迎点赞，关注，收藏

朋友们，你的支持和鼓励，是我坚持分享，提高质量的动力

好了，本次就到这里