【gRPC】对称与非对称加解密和单向TLS与双向TLS讲解与go案例

对称加密与非对称加密对比

对称加密：

• 加解密用同一个密钥。
• 优点：速度快。
• 缺点：密钥管理复杂。

非对称加密：

• 使用一对密钥：公钥加密，私钥解密；或私钥签名，公钥验证。
• 优点：更安全，适合身份验证和密钥分发。
• 缺点：速度较慢。

TLS与CA

1.各种证书和密钥的含义与作用

这些文件通常出现在 TLS 通信和证书管理中，它们的作用如下：

1. CA 相关文件

2. 客户端 CA 相关文件（可选，用于双向TLS）

3. 客户端相关文件

4. 服务器相关文件

总结：这些文件的关系与用途

工作流程中的用途

1. 单向TLS：
   • 客户端验证 server cert.pem（用 ca cert.pem）。
   • 加解密通信：客户端生成对称密钥，用 server key.pem 配合完成。
   • 

2. 双向TLS：

   • 客户端验证 server cert.pem，服务器验证 client cert.pem。

   • 用 ca cert.pem 验证所有证书可信性。

   • 加解密通信：

     • 客户端和服务器各自使用 client key.pem 和 server key.pem 完成数据保护。

   • 

   • 

2.TLS 与 CA 机构中的证书和密钥作用

在 TLS 通信中，证书和密钥的作用主要体现在身份验证和数据加密上。以下是关键组件的用途说明：

1. CA（Certificate Authority，证书颁发机构）

• 作用：一个值得信任的第三方，负责颁发和验证证书。
• 角色：
• 确保证书中的信息真实、可信。
• 建立信任链，客户端通过 CA 的签名信任服务器证书。

2. 证书（Certificate）

• 作用：证明服务器或客户端的身份，防止冒充。
• 内容：
• 公钥：公开使用，用于加密数据或验证签名。
• 证书持有者信息：如域名、组织名称等。
• CA 的签名：保证证书真实可信。
• 用途：
• 服务器证书：证明服务器身份，客户端验证时使用。
• 客户端证书（双向TLS）：证明客户端身份，服务器验证时使用。

3. 公钥和私钥

• 公钥（Public Key）：
• 公开给所有人。
• 用于：
• 数据加密（客户端用服务器的公钥加密数据）。
• 验证签名（验证服务器的身份）。
• 私钥（Private Key）：
• 仅持有者自己保存，绝不公开。
• 用于：
• 数据解密（解密客户端加密的数据）。
• 生成签名（证明服务器身份）。

4. 信任链（Certificate Chain）

• 作用：建立客户端对服务器证书的信任。
• 流程：
• 客户端检查服务器证书是否由可信 CA 签发。
• 如果是可信 CA，信任服务器。
• 如果不是直接签发，依次验证中间证书，直到找到根证书。

总结表格

工作流程举例（单向TLS）

1. 客户端请求：向服务器发送握手请求。
2. 服务器响应：服务器发送证书（含公钥）。
3. 验证证书：客户端用 CA 公钥验证服务器证书可信性。
4. 对称密钥生成：

• 客户端用服务器的公钥加密对称密钥。
• 服务器用私钥解密获得对称密钥。

5. 数据传输：后续通信用对称密钥加密数据。

这样，证书验证身份，公私钥保护密钥，确保通信安全。

单向TLS与双向TLS对比

单向TLS：

• 只有服务端有证书。
• 客户端用证书验证服务端身份。
• 适用：用户访问网页或普通服务。

双向TLS：

• 客户端和服务端都有证书。
• 双方验证对方身份，确保双重信任。
• 适用：金融、医疗等高安全场景。

总结

• 对称加密效率高，用于数据加密；非对称加密安全性好，用于密钥交换和认证。
• 单向TLS验证服务器身份，适合通用场景；双向TLS验证双方身份，适合高安全场景。

单向TLS与双向TLS核心代码

1.单向 TLS 核心代码

服务端配置：

creds, err := credentials.NewServerTLSFromFile("server.crt", "server.key")
if err != nil {
    log.Fatalf("Failed to load server certificates: %v", err)
}
grpcServer := grpc.NewServer(grpc.Creds(creds))

客户端配置：

creds, err := credentials.NewClientTLSFromFile("ca.crt", "")
if err != nil {
    log.Fatalf("Failed to load CA certificate: %v", err)
}
conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(creds))

2.双向 TLS 核心代码

服务端配置：

serverCert, err := tls.LoadX509KeyPair("server.crt", "server.key")
if err != nil {
    log.Fatalf("Failed to load server certificates: %v", err)
}
caCert, err := ioutil.ReadFile("ca.crt")
if err != nil {
    log.Fatalf("Failed to load CA certificate: %v", err)
}
certPool := x509.NewCertPool()
certPool.AppendCertsFromPEM(caCert)

tlsConfig := &tls.Config{
    Certificates: []tls.Certificate{serverCert},
    ClientCAs:    certPool,
    ClientAuth:   tls.RequireAndVerifyClientCert, // 双向认证
}
creds := credentials.NewTLS(tlsConfig)
grpcServer := grpc.NewServer(grpc.Creds(creds))

客户端配置：

clientCert, err := tls.LoadX509KeyPair("client.crt", "client.key")
if err != nil {
    log.Fatalf("Failed to load client certificates: %v", err)
}
caCert, err := ioutil.ReadFile("ca.crt")
if err != nil {
    log.Fatalf("Failed to load CA certificate: %v", err)
}
certPool := x509.NewCertPool()
certPool.AppendCertsFromPEM(caCert)

tlsConfig := &tls.Config{
    Certificates: []tls.Certificate{clientCert},
    RootCAs:      certPool,
}
creds := credentials.NewTLS(tlsConfig)
conn, err := grpc.Dial("localhost:50051", grpc.WithTransportCredentials(creds))