安全傳輸層協(xié)議 TLS，以前稱為 SSL(Secure Sockets Layer) ，由于HTTPS的推出受到了很多人的歡迎。但是正如TLS的名稱 Transport Layer Security 所示的那樣，它實際上是獨立于 HTTP，一個更深入的安全協(xié)議，我們可以將 TLS 視為 TCP 的安全版本，其提供了對 socket 通信進(jìn)行加密和簽名的功能。在我們的日常開發(fā)中，會將 gRPC 協(xié)議運行在TLS之上以確保安全。

今天我們來了解一下如何創(chuàng)建一個通過 TLS 加密的 socket 服務(wù)。

1.TLS socket server

服務(wù)端示例

這個服務(wù)端程序接受來自多個客戶端并發(fā)請求，并向客戶端發(fā)送的所有的鏡像數(shù)據(jù)。和非TLS服務(wù)相比，這里用 tls.Listen 替換了 net.Listen，同時需要提供一個可用的 tls.Config，我們可以使用 mkcert 命令來生成證書和密鑰對文件。

2.TLS socket client

客戶端示例:

和非 TLS 客戶端相比，我們同樣也只是把 net.Dial 換成 tls.Dial, tls.Config 中填寫的證書可以選擇權(quán)威 ca 頒發(fā)的證書，也可以使用自簽名證書。

3.證書鏈

一般來說，我們將自己生成的 CSR 提交給簽名商，他們用中級證書機(jī)構(gòu)的私鑰 Private Key 給我們的簽名成證書，Root CA 通過它的私鑰對中級機(jī)構(gòu)提交的CSR進(jìn)行簽名。

證書頒發(fā)機(jī)構(gòu)是一個樹形結(jié)構(gòu)的。比如在驗證我們證書X的有效性的時候，會一層層的去尋找頒發(fā)者的證書，直到自簽名的根證書，然后通過相應(yīng)的公鑰再反過來驗證下一級的數(shù)字簽名的正確性。直到找到X證書，這就是證書鏈（Certificate Chains）。

我們可以使用以下程序檢查任何服務(wù)器的證書鏈：

給定IP地址后，啟動程序后會與服務(wù)器建立一條 TLS 連接，并上報其使用的證書給服務(wù)端。如果我們使用未處理過的自簽的證書，TLS 服務(wù)端驗證是通不過的。所以我們需要權(quán)威ca 頒發(fā)的證書，或者使用?mkcert?為我們的服務(wù)器生成證書來使他生效。

打開終端，執(zhí)行?mkcert?命令：

新打開一個終端，運行 tls-dial-port:

文章轉(zhuǎn)載：360云計算
（版權(quán)歸原作者所有，侵刪）