1. 背景

证书需要向云服务提供商购买,是需要付费,但用在应用开发场景是不合适的,需要开发者自己自签证书进行测试

2. 工具包

  • Cygwin
a large collection of GNU and Open Source tools which provide functionality similar to a
Linux distribution
on Windows a DLL (cygwin1.dll) which provides substantial POSIX API functionality 下载地址: http://www.cygwin.com/ 详细安装教程: https://blog.csdn.net/u010356768/article/details/90756742

3. 生成CA证书

CA -- 根证书,是属于根证书颁发机构(CA)的公钥证书,用以验证他签发的证书(客户端和服务端)

  • 生成CA证书 -- key
# 创建 cert目录,进入该目录,作为证书保存目录
# 在目录下启动命令终端
openssl genrsa -out ca.key 4096
# 会在 cert目录下生成 ca.key文件,该文件作为生成证书-cert文件基础文件
  • 生成CA证书 - crt
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
# -new 生成新的证书
# -days 证书的有效时间
# -key 指定ca证书key文件路径
# -out CA证书保存位置
# CA证书,这里的Common Name 是CA证书的颁发者 -- beimenchuixue -- 自定义即可
# 其他可以为空 # 会要求填写下列信息
# Country Name -- 国名 -- cn
# State or Province -- 州或省名 -- beijing
# Locality Name -- 城市或区域名 --beijing
# Organization Name -- 组织名 -- jtthink
# Organizational Unit Name -- 组织单位名 -- jt
# Common Name -- 域名(要求一致) -- localhost --> 这个才是最重要的
# Email Address -- 邮箱地址 -- 可以不填

4. 生成服务端证书

  • 生成服务端证书 - key
openssl genrsa -out server.key 4096
# 服务端证书 key
  • 新建 tls.conf 文件,并写入以下内容,该文件作为生成客户端证书与服务端证书根文件
# 新建 tls.conf文件,写入以下内容
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no # 不使用提示符,进入交互界面,因为使用默认会得到一个空主题,所以报错 [req_distinguished_name]
# countryName = cn
# stateOrProvinceName = beijing
# localityName = beijing
# organizationName = company name
commonName = beimenchuixue [ v3_req ]
subjectAltName = @alt_names [ alt_names ]
DNS.1=localhost #可以使用通配符
IP.1=127.0.0.1
  • 生成服务端 csr 文件
openssl req -new -key server.key -out server.csr -config tls.conf -sha256
# 生成服务端 server.csr 文件
  • 依据CA证书签发服务端证书
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt -extfile tls.conf -extensions v3_req
# 签发证书 生成服务端 server.crt文件

5. 生成客户端证书

  • 生成客户端证书 - key
openssl genrsa -out client.key 4096
# 客户端证书 key
  • 生成客户端 csr 文件
openssl req -new -key client.key -out client.csr -config tls.conf -sha256
# 生成客户端 client.csr文件
# 使用的 tls文件与服务使用的一致
  • 依据CA证书签发客户端证书
openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt -extfile tls.conf -extensions v3_req
# 生成客户端证书文件 client.crt

6. Grpc服务端带证书验证 -- 双向验证

package main

import (
"context"
"crypto/tls"
"crypto/x509"
"fmt"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"io/ioutil"
"learn-go-project/service"
"log"
"net"
) // ImplementProductService 定义产品服务实现类
type ImplementProductService struct { } // GetProductStoreNums 实现 proto buffer文件中service 定义的rpc方法 ==> 实现 pb文件中 rpc方法生成的接口
func (s *ImplementProductService) GetProductStoreNums(ctx context.Context, in *service.ProductRequest) (*service.ProductResponse, error) {
fmt.Println(in.GetProductId())
return &service.ProductResponse{ProductStore: 20}, nil
} func main() { // 1. 服务端的证书, 证书文件都保存在项目的cert目录下或其他指定项目目录下
cert, err := tls.LoadX509KeyPair("cert/server.crt", "cert/server.key")
if err != nil {
log.Fatalln(err)
}
// 2. ca证书
ca, err := ioutil.ReadFile("cert/ca.crt")
if err != nil {
log.Fatalln(err)
}
// 3. 证书池添加CA证书
certPool := x509.NewCertPool()
certPool.AppendCertsFromPEM(ca) // 4. 生成证书对象
certs := credentials.NewTLS(&tls.Config{
Certificates: []tls.Certificate{cert},
ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: certPool,
}) // 1. 声明一个grpc服务, 配置cert证书
grpcService := grpc.NewServer(grpc.Creds(certs)) // 2. 将实现类注册到生成的pd文件中
service.RegisterProductServiceServer(grpcService, &ImplementProductService{}) // 3. 启动tcp服务
l, err := net.Listen("tcp", ":9988")
if err != nil {
log.Fatalln(err)
} // 3. 让grp去处理tcp连接
err = grpcService.Serve(l)
if err != nil {
log.Fatalln(err)
}
}

6. Grpc客户端带证书验证 -- 双向验证

package main

import (
"context"
"crypto/tls"
"crypto/x509"
"fmt"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"io/ioutil"
"learn-go-project/service"
"log"
) func main() {
// 1. 服务端的证书
cert, err := tls.LoadX509KeyPair("cert/client.crt", "cert/client.key")
if err != nil {
log.Fatalln(err)
}
// 2. ca证书
ca, err := ioutil.ReadFile("cert/ca.crt")
if err != nil {
log.Fatalln(err)
}
// 3. 证书池添加CA证书
certPool := x509.NewCertPool()
certPool.AppendCertsFromPEM(ca) // 4. 生成证书对象
certs := credentials.NewTLS(&tls.Config{
Certificates: []tls.Certificate{cert}, // 加载客户端证书
RootCAs: certPool, // CA根证书
}) // 1. 创建grpc客户端连接, 使用cert证书
conn, err := grpc.Dial("127.0.0.1:9988", grpc.WithTransportCredentials(certs))
if err != nil {
log.Fatalln(err)
}
defer conn.Close() // 2. 创建对应服务的连接
cli := service.NewProductServiceClient(conn) // 3. 调用方法,获取响应体
response, err := cli.GetProductStoreNums(context.Background(), &service.ProductRequest{ProductId: 50})
if err != nil {
log.Fatalln(err)
} fmt.Println(response.ProductStore)
}

7. Grpc服务端带证书认证 -- 单向认证

package main

import (
"context"
"fmt"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"learn-go-project/service"
"log"
"net"
) // ImplementProductService 定义产品服务实现类
type ImplementProductService struct { } // GetProductStoreNums 实现 proto buffer文件中service 定义的rpc方法 ==> 实现 pb文件中 rpc方法生成的接口
func (s *ImplementProductService) GetProductStoreNums(ctx context.Context, in *service.ProductRequest) (*service.ProductResponse, error) {
fmt.Println(in.GetProductId())
return &service.ProductResponse{ProductStore: 100}, nil
} func main() {
// 单向认证 客户端与服务端公用同一个crt文件
cert, err := credentials.NewServerTLSFromFile("cert/server.crt", "cert/server.key")
if err != nil {
log.Fatalln(err)
}
// 1. 声明一个grpc服务, 配置cert证书
grpcService := grpc.NewServer(grpc.Creds(cert)) // 2. 将实现类注册到生成的pd文件中
service.RegisterProductServiceServer(grpcService, &ImplementProductService{}) // 3. 启动tcp服务
l, err := net.Listen("tcp", ":9988")
if err != nil {
log.Fatalln(err)
} // 3. 让grp去处理tcp连接
err = grpcService.Serve(l)
if err != nil {
log.Fatalln(err)
}
}

8. Grpc客户端带证书认证 -- 单向认证

package main

import (
"context"
"fmt"
"google.golang.org/grpc"
"google.golang.org/grpc/credentials"
"learn-go-project/service"
"log"
) func main() {
// 服务端和客户端公用同一个由CA证书签发的crt和key文件,客户端只需要服务端的crt文件
cert, err := credentials.NewClientTLSFromFile("cert/server.crt", "localhost")
if err != nil {
log.Fatalln(err)
} // 1. 创建grpc客户端连接, 使用cert证书
conn, err := grpc.Dial("127.0.0.1:9988", grpc.WithTransportCredentials(cert))
if err != nil {
log.Fatalln(err)
}
defer conn.Close() // 2. 创建对应服务的连接
cli := service.NewProductServiceClient(conn) // 3. 调用方法,获取响应体
response, err := cli.GetProductStoreNums(context.Background(), &service.ProductRequest{ProductId: 50})
if err != nil {
log.Fatalln(err)
} fmt.Println(response.ProductStore)
}

http-自签证书的更多相关文章

  1. Linux中Nginx中添加自签证书TLS

    创建自签证书TLS openssl req \ -newkey rsa: \ -x509 \ -nodes \ -keyout test.com.key \ -new \ -out test.com. ...

  2. jdk keytool 自签证书

    jdk keytool 自签证书 https需要用到ssl证书,可以从阿里等平台申请,本文采用jdk keytool进行自签证书. 生成环境:linux 用jdk自带keytool工具生成密钥库 ke ...

  3. OpenSSL - 利用OpenSSL自签证书和CA颁发证书

    秘钥操作 这个命令会生成一个1024/2048位的密钥,包含私钥和公钥. openssl genrsa -out private.key 1024/2038                     ( ...

  4. openssl CA 自签证书,阿里云配置tomcat https

    <一,openssl CA自签发证书> 1,生成私钥 openssl genrsa 1024 > private.key;

  5. OPENSSL生成SSL自签证书

    OPENSSL生成SSL自签证书 目前,有许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书. 支持浏览器的SSL ...

  6. 使用cfssl生成自签证书

    安装ssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_li ...

  7. Nginx 颁发自签证书

    首先,确保安装了OpenSSL库,并且安装Nginx时使用了–with-http_ssl_module参数. 1:进入生成证书的目录 cd /usr/local/nginx/conf 2:使用open ...

  8. CentOS6系统openssl生成证书和自签证书

    CentOS6系统openssl生成证书和自签证书的过程,记录一下,本文基于CentOS 6 64bit.$ yum install openssl openssl-devel 1,生成服务器端的私钥 ...

  9. Window下生成OpenSSL自签证书

    :OPenSSL下载地址:https://www.openssl.org/source/ 编译好的OpenSSL下载地址: http://slproweb.com/products/Win32Open ...

  10. Windows下使用OpenSSL生成自签证书

    下载OpenSSLhttp://slproweb.com/products/Win32OpenSSL.html 生成证书 生成crt证书CMD进入安装bin目录,执行命令:openssl req -x ...

随机推荐

  1. HP LoadRunner 11.00安装+破解+汉化

    里面包含多个破解码,最高支持6.5w个并发: https://blog.csdn.net/xianjie0318/article/details/78625980

  2. Docker 使用及常见问题总结

    一.使用 1.docker run -it 命令中的 it 参数是什么含义 在Docker中,-it是两个选项的组合,用于在交互式模式下运行容器.让我解释一下它们的含义: -i 或 --interac ...

  3. 快速入门Mybatis完成基本CURD(注解实现)

    一.什么是Mybatis? MyBatis 是一款优秀的持久层框架,它支持定制化 SQL.存储过程以及高级映射. MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集. MyB ...

  4. Spring Boot 应用部署流程

    在本机操作,执行以下步骤启动项目 1.从Github上下载源码 git clone https://github.com/ChinaSilence/any-video.git 2.在数据库中建库,建表 ...

  5. Java PDF文档转换 — PDF转Excel、SVG转PDF

    概述 Spire.PDF for Java支持将PDF文档高质量地转换为XPS.图片.SVG.Word.HTML和PDF/A格式,以及支持将XPS.HTML文档转换为PDF格式.本文将通过代码演示来介 ...

  6. MySQL篇:第四章_详解DML语言

    DML语言 插入 一.方式一 语法: insert into 表名(字段名,...) values(值1,...); 特点: 1.字段类型和值类型一致或兼容,而且一一对应 2.可以为空的字段,可以不用 ...

  7. Web 全栈开发利器: 强大的在线 Cloud IDE

    摘要:近年来,敏捷.DevOps的理念已逐步成为主流.基于云计算的开发环境也正获得越来越多开发者的青睐.不难想象,云端IDE已成未来的趋势. 学了Web全栈开发,就得动手实践,要动手,得先有开发环境. ...

  8. 【DevCloud · 敏捷智库】暴走在发布前夜的开发,你怕不怕?

    摘要:每个月都有2天开发团队要通宵熬夜,大家苦不堪言.有个别的开发同学,骂完公司骂同事,骂完同事骂客户的,甚至连自己都不放过-- 来自一个CEO的叙述 在一次企业交流会上,一个公司的CEO提道,&qu ...

  9. 华为云GaussDB(for openGauss)商用啦!

    摘要:截止目前,华为消费者云已在GaussDB(for openGauss)上线了40+业务,包括弹幕&评论.云空间.地理大数据等业务系统,实时为5亿+用户提供高效服务. 生命在于运动,健康打 ...

  10. CANN 6.0来了,硬核技术抢先看

    摘要:在华为全联接大会2022期间,华为正式官宣昇腾AI异构计算架构CANN 6.0版本将在年底正式发布. 本文分享自华为云社区<昇腾AI异构计算架构CANN 6.0全新开放升级,全面释放AI生 ...