goproxy 后面的 gPRC 返回证书错误，无需代理即可正常工作

编程并不是一个机械性的工作，而是需要有思考，有创新的工作，语法是固定的，但解决问题的思路则是依靠人的思维，这就需要我们坚持学习和更新自己的知识。今天golang学习网就整理分享《goproxy 后面的 gPRC 返回证书错误，无需代理即可正常工作》，文章讲解的知识点主要包括，如果你对Golang方面的知识点感兴趣，就不要错过golang学习网，在这可以对大家的知识积累有所帮助，助力开发能力的提升。

我有一个 grpc 客户端和服务器，均使用 ssl 证书进行保护。如果没有代理，这些工作就很好。作为测试，当我故意创建有缺陷的证书时，它会失败。稍后将在本文中证明这不是证书问题。

grpc 服务器代码：

// creates a new grpc server
// create the tls credentials
creds, err := credentials.newservertlsfromfile("configs/cert/servercert.pem", "configs/cert/serverkey.pem")
if err != nil {
    log.fatalf("could not load tls keys: %s", err)
}
// create an array of grpc options with the credentials
opts := []grpc.serveroption{grpc.creds(creds)}
// create a grpc server object
s := grpc.newserver(opts...)

grpc 客户端代码：

// create the client tls credentials
creds, err := credentials.newclienttlsfromfile("configs/cert/servercert.pem", "")
if err != nil {
    log.fatalf("could not load tls cert: %s", err)
}

conn, err := grpc.dial(grpcuri, grpc.withtransportcredentials(creds))
if err != nil {
    log.fatalf("unable to connect: %v", err)
}

现在我正在尝试使用转发代理（我已经测试过并且在正常的 http api 请求上工​​作正常）。然而，它在通过代理的 grpc 请求上不断失败。

我正在使用 cuttle，它内部使用 goproxy 并进行以下设置。请注意，insecureskipverify 布尔值已尝试过 true 和 false。根据我对 ssl 的（有限）了解，这需要是 false 因为它将在线检查证书，并且这些是自签名的，所以自然会失败。然而，我再次尝试了 true 和 false

// config proxy.
proxy := goproxy.newproxyhttpserver()
proxy.tr = &http.transport{
    // config tls cert verification.
    tlsclientconfig: &tls.config{insecureskipverify: !cfg.tlsverify},
    proxy:           http.proxyfromenvironment,
}

在 grpc 客户端和服务器之间运行代理会导致以下错误：

传输：身份验证握手失败：x509：证书签名 由未知的权威机构（可能是因为“x509：无效签名： 尝试时父证书无法签署此类证书” 验证候选权威证书“测试服务器”

这表明这是一个证书问题，但是，正如前面所述和测试的那样，grpc 在没有代理的情况下可以完美工作。

另请注意：我不想在代理后面运行 grpc，但由于开发环境而被迫这样做。 grpc 服务器和代理运行在同一台 docker 机器上。具有相同的 ip 地址将导致以下配置，这只会相互抵消（相信我，我无论如何都尝试过）。

ENV http_proxy 192.168.99.100:3128
ENV https_proxy 192.168.99.100:3128
ENV no_proxy 192.168.99.100 # <- this would be the gRPC server IP, which is the same as the proxy. resulting in nothing being run through a proxy.

分割docker中的ip地址可以解决这个问题，但是，我什么也学不到，并且想解决这个问题。我尝试了像这里回答的配置来设置不同的docker内部ip，但是，该ip将保持为空（仅设置网络）并且在新ip上访问只会超时。

解决方案

背景：

tls 连接的每一端都需要预先安排的信任。大多数客户端在连接到远程主机时都使用系统信任链（geotrust、digicert ca 的可信证书都列在那里，允许您安全地访问 https://facebook.com、https://google.com 等网站）

go，使用 tls 时，在联系服务器时将默认使用系统信任链。开发自定义解决方案时，您的应用程序服务器的公共证书可能不在此系统信任链中。所以你有两个选择：

• 通过 insecureskipverify 禁用信任：true（DON'T 执行此操作！）
• 为您的客户添加自定义信任

您的应用程序服务器很可能有一个自签名证书，因此需要 easy 来获取其中的公共证书部分。 您还可以使用 openssl 等工具查看服务器的公共证书 - 使用链接的解决方案，您不仅可以获取自己的开发服务器的公共证书，还可以获取任何其他远程服务的公共证书 - 只需提供主机名和端口。

所以只是总结一下您的情况。你有：

client <- tls -> server

但想要：

client <-tls-> proxy <-tls-> server

因此，您的客户端现在不需要信任服务器，而只需信任代理 - 因为它只直接与代理通信。 代理很可能有一个自签名证书（请参阅上面有关如何提取信任证书的信息）。 获得此文件后，更新您的 go 代码以使用此自定义信任文件，如下所示：

// Get the SystemCertPool, continue with an empty pool on error
rootCAs, err := x509.SystemCertPool() // <- probably not needed, if we're only ever talking to this single proxy
if err != nil || rootCAs == nil {
    rootCAs = x509.NewCertPool()
}

// Read in the custom trust file
certs, err := ioutil.ReadFile(localTrustFile)
if err != nil {
    log.Fatalf("Failed to append %q to RootCAs: %v", localTrustFile, err)
}

// Append our cert to the system pool
if ok := rootCAs.AppendCertsFromPEM(certs); !ok {
    log.Fatalf("failed to append custom cert")
}

tlsConfig := &tls.Config{
    RootCAs: rootCAs,
}

代理还需要信任服务器 - 因此如果服务器的证书不在系统信任链中，那么它将需要与上面类似的 tls.config 设置。

以上就是《goproxy 后面的 gPRC 返回证书错误，无需代理即可正常工作》的详细内容，更多关于的资料请关注golang学习网公众号！