1 背景

Dubbo-go在Getty/Triple/Grpc三个通信层面支持TLS链路安全通信。

2 原理

2.1 证书机制:

ps: 可以先提前了解非对称加密机制。

CA(Certification Authority)负责生成根证书、签发证书等等。CA自签证书的过程如下:

  1. CA生成公钥 ca_KeyPub 和私钥 ca_KeyPri,以及基本信息表 ca_Info。ca_Info 中一般包含了CA的名称、证书的有效期等信息。
  2. CA对(ca_KeyPub + ca_Info)进行散列运算,得到散列值 ca_Hash。
  3. CA使用其私钥 ca_KeyPri 对 ca_Hash 进行非对称加密,得到加密的散列值 enc_ca_Hash。
  4. CA将(ca_KeyPub + ca_Info + enc_ca_Hash)组合生成自签名的数字证书「ca_Cert」。这张证书称之为根证书。
  5. 根证书(ca_Cert)包含的内容:ca_KeyPub + ca_Info + enc_ca_Hash。
    (ca_Cert)可用于签署下一级的证书。根证书是自签名的,不需要其他机构认证。公钥私钥的生成可以利用OpenSSL等工具。

当需要签发证书时,在本地生成公钥和私钥,向CA发起CSR请求(Certificate Signing Request), CA校验此请求之后,颁发证书。过程如下:

  1. 证书申请者(S)在本地生成公钥 s_KeyPub 和私钥 s_KeyPri,以及基本信息表 s_Info。s_Info 中一般包含了证书申请者的名称、证书有效期等信息。
  2. 证书申请者将 s_KeyPub、s_Info 发送给认证机构CA,即发起CSR请求。
  3. CA通过某种方式验证申请者的身份之后,再加上根认证机构自己的一些信息 ca_Info,然后对它们(s_KeyPub + s_Info + ca_Info)进行散列运算,得到散列值 s_Hash。
  4. CA使用其私钥 ca_KeyPri 对 s_Hash 进行非对称加密,得到加密的散列值 enc_s_Hash。
  5. CA将(s_KeyPub + s_Info + ca_Info + enc_s_Hash)组合签署成数字证书(s_Cert)并发送给申请者。

申请者的证书(s_Cert)包含的内容为:s_KeyPub + s_Info + ca_Info + enc_s_Hash。

证书校验:

用CA的公钥对 enc_s_Hash进行解密,得到s_Hash,对比其是否与 hash(s_KeyPub + s_Info + ca_Info)一致。

2.2 TLS机制:

TLS 的前身是 SSL,用于通信加密,其主要过程如下:
在最简单的TLS机制中,只需要对客户端对服务端进行校验,所以只需要服务端有证书,客户端不需要,比如我们熟悉的HTTPS。其认证过程如下:

  1. 客户端连接到服务端
  2. 服务器出示其 TLS 证书(s_cert),包括服务端公钥、CA的信息等。
  3. 客户端验证服务器的证书,用CA的公钥即可校验。
  4. 客户端和服务器通过加密的 TLS 连接交换信息

除此之外,还有更安全的加密方式mTLS。在 mTLS 中,客户端和服务器都有一个证书,并且双方都使用它们的公钥/私钥对进行身份验证。其认证过程如下:

  1. 客户端连接到服务端
  2. 服务端出示其 TLS 证书(s_cert),包括服务端公钥、服务端CA的信息等。
  3. 客户端验证服务端的证书,用服务端CA的公钥校验。
  4. 客户端出示其 TLS 证书(c_cert),包括客户端公钥、客户端CA的信息等。这里注意客户端和服务端的CA可能不是同一个。
  5. 服务端验证客户端的证书,用客户端CA的公钥校验。
  6. 服务端授予访问权限
  7. 客户端和服务器通过加密的 TLS 连接交换信息

3 在Dubbo-go中使用 TLS 加密

0.生成所需要的证书和秘钥 本示例提供已经生成好的证书和秘钥,在目录tls/x509

1.配置dubbogo.yaml

客户端TLS配置:

dubbo:
  tls_config:
    ca-cert-file: ../../../x509/server_ca_cert.pem 
    tls-cert-file: ../../../x509/client2_cert.pem  
    tls-key-file: ../../../x509/client2_key.pem
    tls-server-name: dubbogo.test.example.com

服务端TLS配置:

dubbo:
  tls_config:
    ca-cert-file: ../../../x509/client_ca_cert.pem
    tls-cert-file: ../../../x509/server2_cert.pem
    tls-key-file: ../../../x509/server2_key.pem
    tls-server-name: dubbogo.test.example.com
  1. 启动示例

本示例提供了Dubbo、Grpc、Triple三种通信方式的TLS加密示例,分别位于tls/dubbotls/grpctls/triple。进入文件夹即可启动示例。

以tls/dubbo为例:

  • step1: 启动服务端:

进入tls/dubbo/go-server/cmd,启动server.go

看到如下日志,则TLS配置生效

2022-12-01T23:39:30.690+0800    INFO    getty/getty_server.go:78        Getty Server initialized the TLSConfig configuration
  • step2: 启动客户端:

进入tls/dubbo/go-client/cmd,启动client.go

看到如下日志,则TLS配置生效

2022-12-01T23:40:05.998+0800    INFO    grpc/client.go:90       Grpc Client initialized the TLSConfig configuration

4 参考

5 社区

本文整理代码示例详见 https://github.com/apache/dub...

欢迎钉钉扫码加入 dubbogo 社区钉钉群【钉钉群号 23331795】进行交流。

image.png


dubbo_go
43 声望346 粉丝

于雨(github @AlexStocks),dubbogo 社区负责人,一个有十多年服务端基础架构和中间件研发一线工作经验的程序员,陆续参与和改进过 Redis/Pika/Muduo/dubbo-go/Sentinel-go 等知名项目,目前在蚂蚁金服可信原生部...