前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >openssl 证书生成

openssl 证书生成

原创
作者头像
ruochen
发布2021-12-06 13:03:15
1.6K0
发布2021-12-06 13:03:15
举报
文章被收录于专栏:若尘的技术专栏

openssl证书生成

openssl.jpg

问题

golang 1.15+版本上,用 gRPC通过TLS实现数据传输加密时,会报错证书的问题

`rpc error: code = Unavailable desc = connection error: desc = "transport:

authentication ha`

ndshake failed: x509: certificate is valid for www.eline.com, not xxx"

`panic: rpc error: code = Unavailable desc = connection error: desc =

"transport: authentication handshake failed: x509: certificate is valid for

www.eline.com, not xxx"`

造成的原因是因为我们用的证书,并没有开启SAN扩展(默认是没有开启SAN扩展)所生成的

导致客户端和服务端无法建立连接

开始解决问题

使用开启扩展SAN的证书

什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL

证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

生成CA根证书

新建 ca.conf

vim ca.conf

写入内容如下:

代码语言:txt
复制
[ req ]
代码语言:txt
复制
default_bits       = 4096
代码语言:txt
复制
distinguished_name = req_distinguished_name
代码语言:txt
复制
[ req_distinguished_name ]
代码语言:txt
复制
countryName                 = Country Name (2 letter code)
代码语言:txt
复制
countryName_default         = CN
代码语言:txt
复制
stateOrProvinceName         = State or Province Name (full name)
代码语言:txt
复制
stateOrProvinceName_default = JiangSu
代码语言:txt
复制
localityName                = Locality Name (eg, city)
代码语言:txt
复制
localityName_default        = NanJing
代码语言:txt
复制
organizationName            = Organization Name (eg, company)
代码语言:txt
复制
organizationName_default    = Sheld
代码语言:txt
复制
commonName                  = Common Name (e.g. server FQDN or YOUR name)
代码语言:txt
复制
commonName_max              = 64
代码语言:txt
复制
commonName_default          = Ted CA Test

生成ca秘钥,得到ca.key

openssl genrsa -out ca.key 4096

生成ca证书签发请求,得到ca.csr

代码语言:txt
复制
openssl req \
代码语言:txt
复制
  -new \
代码语言:txt
复制
  -sha256 \
代码语言:txt
复制
  -out ca.csr \
代码语言:txt
复制
  -key ca.key \
代码语言:txt
复制
  -config ca.conf

shell交互时一路回车就行

生成ca根证书,得到ca.crt

代码语言:txt
复制
openssl x509 \
代码语言:txt
复制
    -req \
代码语言:txt
复制
    -days 3650 \
代码语言:txt
复制
    -in ca.csr \
代码语言:txt
复制
    -signkey ca.key \
代码语言:txt
复制
    -out ca.crt

生成终端用户证书

准备配置文件,得到server.conf

新建 server.conf

vim server.conf

写入内容如下:

代码语言:txt
复制
[ req ]
代码语言:txt
复制
default_bits       = 2048
代码语言:txt
复制
distinguished_name = req_distinguished_name
代码语言:txt
复制
req_extensions     = req_ext
代码语言:txt
复制
[ req_distinguished_name ]
代码语言:txt
复制
countryName                 = Country Name (2 letter code)
代码语言:txt
复制
countryName_default         = CN
代码语言:txt
复制
stateOrProvinceName         = State or Province Name (full name)
代码语言:txt
复制
stateOrProvinceName_default = JiangSu
代码语言:txt
复制
localityName                = Locality Name (eg, city)
代码语言:txt
复制
localityName_default        = NanJing
代码语言:txt
复制
organizationName            = Organization Name (eg, company)
代码语言:txt
复制
organizationName_default    = Sheld
代码语言:txt
复制
commonName                  = Common Name (e.g. server FQDN or YOUR name)
代码语言:txt
复制
commonName_max              = 64
代码语言:txt
复制
commonName_default          = xiamotong    # 此处尤为重要,需要用该服务名字填写到客户端的代码中
代码语言:txt
复制
[ req_ext ]
代码语言:txt
复制
subjectAltName = @alt_names
代码语言:txt
复制
[alt_names]
代码语言:txt
复制
DNS.1   = www.eline.com
代码语言:txt
复制
IP      = 127.0.0.1

生成秘钥,得到server.key

openssl genrsa -out server.key 2048

生成证书签发请求,得到server.csr

代码语言:txt
复制
openssl req \
代码语言:txt
复制
  -new \
代码语言:txt
复制
  -sha256 \
代码语言:txt
复制
  -out server.csr \
代码语言:txt
复制
  -key server.key \
代码语言:txt
复制
  -config server.conf

shell交互时一路回车就行

用CA证书生成终端用户证书,得到server.crt

代码语言:txt
复制
openssl x509 \
代码语言:txt
复制
  -req \
代码语言:txt
复制
  -days 3650 \
代码语言:txt
复制
  -CA ca.crt \
代码语言:txt
复制
  -CAkey ca.key \
代码语言:txt
复制
  -CAcreateserial \
代码语言:txt
复制
  -in server.csr \
代码语言:txt
复制
  -out server.pem\
代码语言:txt
复制
  -extensions req_ext \
代码语言:txt
复制
  -extfile server.conf

现在证书已经生成完毕, server.pem 和 server.key 就是我们需要的证书和密钥

服务端代码:

代码语言:txt
复制
creds, err := credentials.NewServerTLSFromFile("./keys/server.pem", "./keys/server.key")

客户端代码:

代码语言:txt
复制
creds, err := credentials.NewClientTLSFromFile("./keys/server.pem", "xiaomotong")

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

shell
rpc
https
SSL 证书
数据分析

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

shell
rpc
https
SSL 证书
数据分析
评论
作者已关闭评论
0 条评论
热度
最新
作者已关闭评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • openssl证书生成
    • 问题
      • 使用开启扩展SAN的证书
        • 什么是 SAN
        • 生成CA根证书
        • 生成ca秘钥,得到ca.key
        • 生成ca证书签发请求,得到ca.csr
        • 生成ca根证书,得到ca.crt
      • 生成终端用户证书
        • 准备配置文件,得到server.conf
        • 生成秘钥,得到server.key
        • 生成证书签发请求,得到server.csr
        • 用CA证书生成终端用户证书,得到server.crt
    相关产品与服务
    SSL 证书
    腾讯云 SSL 证书(SSL Certificates)为您提供 SSL 证书的申请、管理、部署等服务,为您提供一站式 HTTPS 解决方案。
    免费体验产品介绍产品文档
    领券

    腾讯云开发者

    扫码关注腾讯云开发者

    扫码关注腾讯云开发者

    领取腾讯云代金券

    热门产品

    热门推荐

    更多推荐

    Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

    深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

    腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

    Copyright © 2013 - 2024 Tencent Cloud.

    All Rights Reserved. 腾讯云 版权所有

    作者已关闭评论