docker - goproxy 后面的 gPRC 返回证书错误,没有代理也能正常工作
问题描述
我有一个 gRPC 客户端和服务器,都使用 ssl 证书进行保护。在这些之间没有代理,效果很好。作为测试,当我故意创建错误的证书时,它会失败。稍后在本文中证明这不是证书问题。
gRPC 服务器代码:
// Creates a new gRPC server
// Create the TLS credentials
creds, err := credentials.NewServerTLSFromFile("configs/cert/servercert.pem", "configs/cert/serverkey.pem")
if err != nil {
log.Fatalf("could not load TLS keys: %s", err)
}
// Create an array of gRPC options with the credentials
opts := []grpc.ServerOption{grpc.Creds(creds)}
// create a gRPC server object
s := grpc.NewServer(opts...)
gRPC 客户端代码:
// Create the client TLS credentials
creds, err := credentials.NewClientTLSFromFile("configs/cert/servercert.pem", "")
if err != nil {
log.Fatalf("could not load tls cert: %s", err)
}
conn, err := grpc.Dial(grpcUri, grpc.WithTransportCredentials(creds))
if err != nil {
log.Fatalf("Unable to connect: %v", err)
}
现在我正在尝试使用转发代理(我已经测试过并且在正常的 HTTP api 请求上工作正常)。但是,它在通过代理的 gRPC 请求上不断失败。
我正在使用cuttle,它在内部使用goproxy和以下设置。请注意,InsecureSkipVerify布尔值已尝试过true和false。以我对 SSL 的(有限)理解,这需要是false因为它将在线检查证书,并且这些是自签名的,所以它自然会失败。但是,我又一次尝试true了false
// Config proxy.
proxy := goproxy.NewProxyHttpServer()
proxy.Tr = &http.Transport{
// Config TLS cert verification.
TLSClientConfig: &tls.Config{InsecureSkipVerify: !cfg.TLSVerify},
Proxy: http.ProxyFromEnvironment,
}
在 gRPC 客户端和服务器之间运行代理会导致以下错误:
传输:身份验证握手失败:x509:证书由未知权威签名(可能是因为“x509:无效签名:父证书无法签署这种证书”,同时尝试验证候选权威证书“测试服务器”
这表明这是一个证书问题,但是,如前所述和测试,gRPC 在没有代理的情况下可以正常工作。
另请注意:我不想在代理后面运行 gRPC,但由于开发环境而被迫这样做。gRPC 服务器和代理运行在同一台 docker 机器上。拥有相同的 IP 地址会导致以下配置相互抵消(相信我,我无论如何都试过了)。
ENV http_proxy 192.168.99.100:3128
ENV https_proxy 192.168.99.100:3128
ENV no_proxy 192.168.99.100 # <- this would be the gRPC server IP, which is the same as the proxy. resulting in nothing being run through a proxy.
拆分 docker 中解决的 ip 可以解决这个问题,但是,我什么都学不到,想解决这个问题。我尝试了此处回答的配置来设置不同的 docker 内部 IP,但是,该 ip 将保持为空(仅设置网络)并且在新 IP 上的访问将超时。
解决方案
背景:
TLS 连接的每一端都需要预先安排的信任。大多数客户端在连接到远程主机时使用系统信任链(GeoTrust、DigiCert CA 的受信任证书都列在那里,让您可以安全地访问https : //facebook.com、https://google.com等网站。 )
go,当使用 TLS 时,在联系服务器时将默认使用系统信任链。在开发自定义解决方案时,您的应用程序服务器的公共证书很可能不在此系统信任链中。所以你有两个选择:
- 通过禁用信任
InsecureSkipVerify: true(不要这样做!) - 为您的客户添加自定义信任
您的应用程序服务器很可能有一个自签名证书,因此很容易获得其中的公共证书部分。您还可以使用openssl之类的工具查看服务器的公共证书- 使用链接的解决方案,您不仅可以为您自己的开发服务器获取公共证书,还可以为任何其他远程服务获取公共证书 - 只需提供主机名和端口。
所以简单总结一下你的情况。你有:
Client <- TLS -> Server
但是想要:
Client <-TLS-> Proxy <-TLS-> Server
因此,您的客户端现在不需要信任服务器,而是现在只需要信任代理 - 因为它只是直接与代理对话。代理很可能有一个自签名证书(有关如何提取信任证书,请参见上文)。一旦你有了这个,更新你的go代码以使用这个自定义信任文件,如下所示:
// Get the SystemCertPool, continue with an empty pool on error
rootCAs, err := x509.SystemCertPool() // <- probably not needed, if we're only ever talking to this single proxy
if err != nil || rootCAs == nil {
rootCAs = x509.NewCertPool()
}
// Read in the custom trust file
certs, err := ioutil.ReadFile(localTrustFile)
if err != nil {
log.Fatalf("Failed to append %q to RootCAs: %v", localTrustFile, err)
}
// Append our cert to the system pool
if ok := rootCAs.AppendCertsFromPEM(certs); !ok {
log.Fatalf("failed to append custom cert")
}
tlsConfig := &tls.Config{
RootCAs: rootCAs,
}
代理还需要信任服务器 - 因此,如果服务器的证书不在系统信任链中,那么它将需要与上面类似的 tls.Config 设置。
推荐阅读
- python - 提高数据集生成中的代码效率
- python - 比较列表整数值
- python - 位置应由两个数值组成
- rust - 如何在 Rust 中为返回的元组设置静态生命周期?
- yaml - Jekyll config.yml 错误:解析块集合时未找到预期的“-”指示符
- optimization - Pytorch 根据 epoch 数改变学习率
- linux - 嵌套 for 循环中的命令和变量
- arrays - 如何在 J/APL 中实现 minikanren 'appendo'?
- c# - 如何基于 Azure AD 组进行授权?
- python - 我创建了一个 REST api,它基本上显示了一些数据。我需要使用 $http 让这些数据通过 angularjs 显示