gRPC: 如何开启 TLS/SSL?-阿里云开发者社区

开发者社区> 尹东勋> 正文

gRPC: 如何开启 TLS/SSL?

简介: 本文将介绍如何在 gRPC 微服务中开启 TLS/SSL,我就是我们常说的 https。
+关注继续查看

介绍

本文将介绍如何在 gRPC 微服务中开启 TLS/SSL,我就是我们常说的 https。

我们将会使用 rk-boot 来启动 gRPC 服务。

请访问如下地址获取完整教程:

生成 Self-Signed Certificate

用户可以从各大云厂商购买证书,或者使用 cfssl 创建自定义证书。

我们介绍如何在本地生成证书。

1.下载 cfssl & cfssljson 命令行

推荐使用 rk 命令行来下载。
$ go get -u github.com/rookie-ninja/rk/cmd/rk
$ rk install cfssl
$ rk install cfssljson
官网下载
$ go get github.com/cloudflare/cfssl/cmd/cfssl
$ go get github.com/cloudflare/cfssl/cmd/cfssljson

2.生成 CA

$ cfssl print-defaults config > ca-config.json
$ cfssl print-defaults csr > ca-csr.json

根据需要修改 ca-config.json 和 ca-csr.json。

$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

3.生成服务端证书

server.csrserver.pemserver-key.pem 将会被生成。

$ cfssl gencert -config ca-config.json -ca ca.pem -ca-key ca-key.pem -profile www csr.json | cfssljson -bare server

安装

go get github.com/rookie-ninja/rk-boot

快速开始

rk-boot 支持通过如下方式让 gRPC 服务获取证书。

  • 本地文件系统
  • 远程文件系统
  • Consul
  • ETCD

我们先看看如何从本地获取证书并启动。

1.创建 boot.yaml

在这个例子中,我们只启动服务端的证书。其中,locale 用于区分不同环境下 cert。

请参考之前的文章了解详情:GRPC: 基于云原生环境,区分配置文件

---
cert:
  - name: "local-cert"                     # Required
    provider: "localFs"                    # Required, etcd, consul, localFs, remoteFs are supported options
    locale: "*::*::*::*"                   # Required, default: ""
    serverCertPath: "cert/server.pem"      # Optional, default: "", path of certificate on local FS
    serverKeyPath: "cert/server-key.pem"   # Optional, default: "", path of certificate on local FS
grpc:
  - name: greeter
    port: 8080
    enabled: true
    enableReflection: true
    cert:
      ref: "local-cert"                    # Enable grpc TLS
    commonService:
      enabled: true

2.创建 main.go

package main

import (
    "context"
    "github.com/rookie-ninja/rk-boot"
)

// Application entrance.
func main() {
    // Create a new boot instance.
    boot := rkboot.NewBoot()

    // Bootstrap
    boot.Bootstrap(context.Background())

    // Wait for shutdown sig
    boot.WaitForShutdownSig(context.Background())
}

3.文件夹结构

.
├── boot.yaml
├── cert
│   ├── server-key.pem
│   └── server.pem
├── go.mod
├── go.sum
└── main.go

1 directory, 6 files

4.启动 main.go

$ go run main.go

5.验证

  • 发送 Restful 请求
$ curl -X GET --insecure https://localhost:8080/rk/v1/healthy                 
{"healthy":true}
  • 发送 grpc 请求
$ grpcurl -insecure localhost:8080 rk.api.v1.RkCommonService.Healthy
{
  "healthy": true
}

架构

参数介绍

1.从本地读取证书

配置项详情需要默认值
cert.localFs.name本地文件系统获取器名称""
cert.localFs.locale遵从 locale: \<realm\>::\<region\>::\<az\>::\<domain\>""
cert.localFs.serverCertPath服务器证书路径""
cert.localFs.serverKeyPath服务器证书密钥路径""
cert.localFs.clientCertPath客户端证书路径""
cert.localFs.clientCertPath客户端证书密钥路径""
  • 例子
---
cert:
  - name: "local-cert"                     # Required
    description: "Description of entry"    # Optional
    provider: "localFs"                    # Required, etcd, consul, localFs, remoteFs are supported options
    locale: "*::*::*::*"                   # Required, default: ""
    serverCertPath: "cert/server.pem"      # Optional, default: "", path of certificate on local FS
    serverKeyPath: "cert/server-key.pem"   # Optional, default: "", path of certificate on local FS
grpc:
  - name: greeter
    port: 8080
    enabled: true
    enableReflection: true
    cert:
      ref: "local-cert"                    # Enable grpc TLS

2.从远程文件服务读取证书

配置项详情需要默认值
cert.remoteFs.name远程文件服务获取器名称""
cert.remoteFs.locale遵从 locale:\<realm\>::\<region\>::\<az\>::\<domain\>""
cert.remoteFs.endpoint远程地址: http://x.x.x.x 或者 x.x.x.xN/A
cert.remoteFs.basicAuthBasic auth: <user:pass>.""
cert.remoteFs.serverCertPath服务器证书路径""
cert.remoteFs.serverKeyPath服务器证书密钥路径""
cert.remoteFs.clientCertPath客户端证书路径""
cert.remoteFs.clientCertPath客户端证书密钥路径""
  • 例子
---
cert:
  - name: "remote-cert"                    # Required
    description: "Description of entry"    # Optional
    provider: "remoteFs"                   # Required, etcd, consul, localFs, remoteFs are supported options
    endpoint: "localhost:8081"             # Required, both http://x.x.x.x or x.x.x.x are acceptable
    locale: "*::*::*::*"                   # Required, default: ""
    serverCertPath: "cert/server.pem"      # Optional, default: "", path of certificate on local FS
    serverKeyPath: "cert/server-key.pem"   # Optional, default: "", path of certificate on local FS
grpc:
  - name: greeter
    port: 8080
    enabled: true
    cert:
      ref: "remote-cert"                   # Enable grpc TLS

3.从 Consul 读取证书

配置项详情需要默认值
cert.consul.nameConsul 获取器名称""
cert.consul.locale遵从 locale: \<realm\>::\<region\>::\<az\>::\<domain\>""
cert.consul.endpointConsul 地址: http://x.x.x.x or x.x.x.xN/A
cert.consul.datacenterConsul 数据中心""
cert.consul.tokenConsul 访问密钥""
cert.consul.basicAuthConsul Basic auth,格式:<user:pass>.""
cert.consul.serverCertPath服务器证书路径""
cert.consul.serverKeyPath服务器证书密钥路径""
cert.consul.clientCertPath服务器证书密钥路径""
cert.consul.clientCertPath服务器证书密钥路径""
  • 例子
---
cert:
  - name: "consul-cert"                    # Required
    provider: "consul"                     # Required, etcd, consul, localFS, remoteFs are supported options
    description: "Description of entry"    # Optional
    locale: "*::*::*::*"                   # Required, ""
    endpoint: "localhost:8500"             # Required, http://x.x.x.x or x.x.x.x both acceptable.
    datacenter: "dc1"                      # Optional, default: "", consul datacenter
    serverCertPath: "server.pem"           # Optional, default: "", key of value in consul
    serverKeyPath: "server-key.pem"        # Optional, default: "", key of value in consul
grpc:
  - name: greeter
    port: 8080
    enabled: true
    cert:
      ref: "consul-cert"                   # Enable grpc TLS

4.从 ETCD 读取证书

配置项详情需要默认值
cert.etcd.nameETCD 获取器名称""
cert.etcd.locale遵从 locale: \<realm\>::\<region\>::\<az\>::\<domain\>""
cert.etcd.endpointETCD 地址:http://x.x.x.x or x.x.x.xN/A
cert.etcd.basicAuthETCD basic auth,格式:<user:pass>.""
cert.etcd.serverCertPath服务器证书路径""
cert.etcd.serverKeyPath服务器证书路径""
cert.etcd.clientCertPath客户端证书路径""
cert.etcd.clientCertPath客户端证书密钥路径""
  • 例子
---
cert:
  - name: "etcd-cert"                      # Required
    description: "Description of entry"    # Optional
    provider: "etcd"                       # Required, etcd, consul, localFs, remoteFs are supported options
    locale: "*::*::*::*"                   # Required, default: ""
    endpoint: "localhost:2379"             # Required, http://x.x.x.x or x.x.x.x both acceptable.
    serverCertPath: "server.pem"           # Optional, default: "", key of value in etcd
    serverKeyPath: "server-key.pem"        # Optional, default: "", key of value in etcd
grpc:
  - name: greeter
    port: 8080
    enabled: true
    cert:
      ref: "etcd-cert"                   # Enable grpc TLS

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
服务器已部署SSL开启https协议为什么浏览器仍然提示不安全?
客户反馈服务器已部署SSL,全站开启了https协议访问了,为什么浏览器仍然提示不安全?是证书无效吗?万维景盛工程师检查发现,客户网站虽然已经可以使用https访问了,但网站上仍然还有http协议的js,css,jpg或iframe的资源,因此导致浏览器不出现绿色安全锁。
6318 0
开启openssl
查看open ssl 支持 生成私钥 生成密钥请求文件 测试用的证书 配置虚拟主机中的文件 1 查看open ssl 支持 在网页上输出 phpinfo() &lt;= phpinfo() &gt; 搜索OpenSSL support选项,如果为enabled,表示支持。 2 生成私钥 keyread为网站名称,可以按你的来写 生成需要
996 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
2722 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4348 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9396 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
366 0
gRPC: 如何开启 TLS/SSL?
本文将介绍如何在 gRPC 微服务中开启 TLS/SSL,我就是我们常说的 https。
49 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
3824 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3164 0
+关注
尹东勋
点目科技创始人
60
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载