那些遇到过的问题

gRPC-Java ssl服务器端认证证书生成

Ric*_*o A 2 openssl grpc grpc-java

我一直在尝试使用 ssl 为简单的 Java gRPC 应用程序设置服务器端身份验证。我使用 certstrap 生成密钥和证书,如下所示:

# Create CA
$ certstrap init --common-name "GRPC"
# Create cert for host using DNS name
$ certstrap request-cert --common-name sdl10236.labs.teradata.com
$ certstrap sign server.com --CA "GRPC"
# gives the following files:
$ GRPC.crl  GRPC.crt  GRPC.key  server.crt  server.csr  server.key
Run Code Online (Sandbox Code Playgroud)

我有以下 java 代码,是我从他们的 hello world 示例和一些单元测试中拼凑而成的,因为我找不到如何执行此操作的完整示例。

private SslProvider sslProvider = SslProvider.OPENSSL;

...

this.clientContextBuilder = GrpcSslContexts.configure(SslContextBuilder.forClient(), this.sslProvider);
try {
    this.serverCertFile = this.loadCert("server.crt");
    this.serverPrivateKeyFile = this.loadCert("server.key");
    this.serverTrustedCaCerts = new X509Certificate[]{this.loadX509Cert("GRPC.crt")};
} catch (IOException ex) {
    logger.warning("Error occurred loading certificate files.");
    ex.getMessage();
    ex.printStackTrace();
} catch (CertificateException cex) {
    logger.warning("Error occurred loading the x509 cert.");
}

...

this.server = serverBuilder(0, this.serverCertFile, this.serverPrivateKeyFile, this.serverTrustedCaCerts).forPort(port).addService(new HelloServiceGrpc.HelloServiceImplBase() { ... }

...

private File loadCert(String name) throws IOException {
    InputStream in = new BufferedInputStream(GrpcServer.class.getResourceAsStream("/certs/" + name));
    File tmpFile = File.createTempFile(name, "");
    tmpFile.deleteOnExit();

    OutputStream os = new BufferedOutputStream(new FileOutputStream(tmpFile));
    try {
        int b;
        while ((b = in.read()) != -1) {
            os.write(b);
        }

        os.flush();
    } finally {
        in.close();
        os.close();
    }

    return tmpFile;
}

private X509Certificate loadX509Cert(String fileName) throws CertificateException, IOException {
    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    logger.info("" + fileName);
    InputStream in = GrpcServer.class.getResourceAsStream("/certs/" + fileName);
    if (in != null) {
        logger.info("Inputstream is defined.");
    }
    try {
        return (X509Certificate) cf.generateCertificate(in);
    } finally {
        in.close();
    }
}

private ServerBuilder<?> serverBuilder(int port, File serverCertChainFile,
        File serverPrivateKeyFile, X509Certificate[] serverTrustedCaCerts) throws IOException {
    SslContextBuilder sslContextBuilder = SslContextBuilder.forServer(serverCertChainFile, serverPrivateKeyFile);
    GrpcSslContexts.configure(sslContextBuilder, sslProvider);
    sslContextBuilder.trustManager(serverTrustedCaCerts).clientAuth(ClientAuth.REQUIRE);

    return NettyServerBuilder.forPort(port).sslContext(sslContextBuilder.build());
}
Run Code Online (Sandbox Code Playgroud)

当我读取程序中的证书和密钥时,x509 证书读取失败。

Exception in thread "main" java.lang.IllegalArgumentException: File does not contain valid private key: /tmp/GRPC.key5252344955683539009
at io.netty.handler.ssl.SslContextBuilder.keyManager(SslContextBuilder.java:267)
at io.netty.handler.ssl.SslContextBuilder.keyManager(SslContextBuilder.java:222)
at io.netty.handler.ssl.SslContextBuilder.forServer(SslContextBuilder.java:54)
at com.teradata.grpc.GrpcServer.serverBuilder(GrpcServer.java:152)
at com.teradata.grpc.GrpcServer.start(GrpcServer.java:69)
at com.teradata.grpc.GrpcServer.main(GrpcServer.java:111)
Caused by: java.security.KeyException: could not find a PKCS #8 private key in input stream (see http://netty.io/wiki/sslcontextbuilder-and-private-key.html for more information)
at io.netty.handler.ssl.PemReader.readPrivateKey(PemReader.java:128)
at io.netty.handler.ssl.PemReader.readPrivateKey(PemReader.java:109)
at io.netty.handler.ssl.SslContext.toPrivateKey(SslContext.java:1014)
at io.netty.handler.ssl.SslContextBuilder.keyManager(SslContextBuilder.java:265)
... 5 more
Run Code Online (Sandbox Code Playgroud)

我真正的问题是生成密钥的正确方法是什么?我已经阅读了所有文档,并了解到预期的格式是 PEM,但 certstrap 会生成 PEM 格式的 .crt 文件。我不确定我应该读哪些文件,并且我没有在文档中找到通过生成正确密钥的示例。

我应该注意,certstrap 生成的密钥可以在 C++ 中工作,但不能在 Java 中工作。

任何帮助,将不胜感激。

Eri*_*son 5

访问错误消息中的 URL 似乎可以提供一个很好的线索: http://netty.io/wiki/sslcontextbuilder-and-private-key.html

certstrap 生成以下开头的密钥:

-----BEGIN RSA PRIVATE KEY-----
Run Code Online (Sandbox Code Playgroud)

我看到 grpc-java 的测试键以以下开头:

-----BEGIN PRIVATE KEY-----
Run Code Online (Sandbox Code Playgroud)

运行 Netty 记录的命令似乎会转换为测试密钥中使用的相同格式:

openssl pkcs8 -topk8 -nocrypt -in server.key -out server.key2
Run Code Online (Sandbox Code Playgroud)

(也在https://groups.google.com/forum/#!topic/grpc-io/5uAK5c9rTHw进行了讨论)

归档时间:

查看次数:

2754 次

最近记录:

8 年 前
相关归档
安装 ruby​​-2.1.2:无法加载此类文件 -- openssl (LoadError) 14
XCode在/ usr/include中找不到OpenSSL头 10
我可以在 C# 中将 gRPC 和 webapi 应用程序组合到 .NET Core 3.0 中吗? 8
grpc go:当客户端关闭连接时,如何知道服务器端 7
将SSL添加到连接 6
CMake 在 Brew 上找不到 OpenSSL 6
使用OpenSSL API验证Authenticode签名的可执行文件和DLL 5
在OpenSSL中使用ECDSA签名消息 4
使用 Go Modules 时生成 in-repo protos 的最佳实践 3
如何在 NodeJS 中从客户端取消服务器端流 gRPC 调用? 3
难疑归档
如何"git克隆"包括子模块? 1864
在JavaScript中生成特定范围内的随机整数? 1836
比较Java枚举成员:==或equals()? 1645
如何停止跟踪并忽略Git中文件的更改? 1634
使用jQuery将表单数据转换为JavaScript对象 1580
在YAML中,如何在多行中断字符串? 1388
[Flags]枚举属性在C#中意味着什么? 1383
将零填充到字符串的最好方法 1309
最优雅的方法来检查Python中的字符串是否为空? 1282
如何在PHP中使用bcrypt进行散列密码? 1230