>我正在尝试按照此博客上的说明创建具有双向 tls 的 gRPC 连接 使用 TLS/SSL 保护 gRPC,但我不想创建证书并将其保存到磁盘上的文件中,我希望服务本身创建其密钥,然后将证书颁发机构密钥带到其他地方(我计划使用谷歌 pki 作为 ca)。
到目前为止,我所做的是,我可以使用 rsa 创建私钥/公钥对,然后按照此处的一些代码将公钥编码为 pem 密钥 Golang :生成 DSA 私钥、公钥和 PEM 文件示例 现在我对如何使用 LoadX509KeyPair 创建证书有一定的了解。我不知道从哪里获得第二个参数的值,它需要以字节为单位的 keyPemBlock,但 RSA 私钥不在字节上。
我想问一下,如果可能的话,是否有更好的方法来使用 RSA 创建证书?
而且,如果我们可以使用RSA创建证书;使用上面我的不完整解决方案,我可以在哪里获得tls.LoadX509KeyPair第二个参数的值?
谢谢
如果你想生成自己的证书和私钥,你必须做:
1.- 生成私钥:
key, err := rsa.GenerateKey(rand.Reader, 2048)
if err != nil {
log.Fatal("Private key cannot be created.", err.Error())
}
// Generate a pem block with the private key
keyPem := pem.EncodeToMemory(&pem.Block{
Type: "RSA PRIVATE KEY",
Bytes: x509.MarshalPKCS1PrivateKey(key),
})
2.- 生成证书:
tml := x509.Certificate{
// you can add any attr that you need
NotBefore: time.Now(),
NotAfter: time.Now().AddDate(5, 0, 0),
// you have to generate a different serial number each execution
SerialNumber: big.NewInt(123123),
Subject: pkix.Name{
CommonName: "New Name",
Organization: []string{"New Org."},
},
BasicConstraintsValid: true,
}
cert, err := x509.CreateCertificate(rand.Reader, &tml, &tml, &key.PublicKey, key)
if err != nil {
log.Fatal("Certificate cannot be created.", err.Error())
}
// Generate a pem block with the certificate
certPem := pem.EncodeToMemory(&pem.Block{
Type: "CERTIFICATE",
Bytes: cert,
})
3.- 加载证书/私钥对:
tlsCert, err := tls.X509KeyPair(certPem, keyPem)
if err != nil {
log.Fatal("Cannot be loaded the certificate.", err.Error())
}
4.- 将tlsCert用于您想要的任何内容,例如:
l, err := tls.Listen("tcp", ":8080", &tls.Config{
Certificates: []tls.Certificate{tlsCert},
})