gPRC背后的proxy返回证书错误，工作良好没有代理。

Question

我有一个gRPC客户端和服务器，两者都使用ssl证书进行保护。在没有代理的情况下，这些工作是很棒的。作为一种测试，当我故意创建错误的证书时，它会失败。在本文后面的文章中证明了这不是一个证书问题。

gRPC服务器代码：

// Creates a new gRPC server
// Create the TLS credentials
creds, err := credentials.NewServerTLSFromFile("configs/cert/servercert.pem", "configs/cert/serverkey.pem")
if err != nil {
    log.Fatalf("could not load TLS keys: %s", err)
}
// Create an array of gRPC options with the credentials
opts := []grpc.ServerOption{grpc.Creds(creds)}
// create a gRPC server object
s := grpc.NewServer(opts...)

gRPC客户端代码：

// Create the client TLS credentials
creds, err := credentials.NewClientTLSFromFile("configs/cert/servercert.pem", "")
if err != nil {
    log.Fatalf("could not load tls cert: %s", err)
}

conn, err := grpc.Dial(grpcUri, grpc.WithTransportCredentials(creds))
if err != nil {
    log.Fatalf("Unable to connect: %v", err)
}

现在，我正在尝试使用一个前向代理(我已经测试了它，并在正常的HTTP请求上运行得很好)。但是，它经常通过代理在gRPC请求上失败。

我使用的是卡特尔，它在内部使用政府代理，设置如下。请注意，InsecureSkipVerify布尔值已经尝试过true和false。根据我(有限的)对SSL的理解，这需要是false，因为它将在线检查证书，并且这些都是自签名的，因此自然会失败。然而，我再次尝试了true和false

// Config proxy.
proxy := goproxy.NewProxyHttpServer()
proxy.Tr = &http.Transport{
    // Config TLS cert verification.
    TLSClientConfig: &tls.Config{InsecureSkipVerify: !cfg.TLSVerify},
    Proxy:           http.ProxyFromEnvironment,
}

在gRPC客户端和服务器之间运行代理将导致以下错误：

传输:身份验证握手失败: x509:由未知权威机构签名的证书(可能是因为"x509:无效签名:父证书不能签署此类证书“，同时试图验证候选授权证书”测试服务器“)。

这表明这是一个证书问题，但是，正如前面所述和测试的那样，gRPC在没有代理的情况下工作是完美无缺的。

还要注意:我不想在代理后面运行gRPC，但是由于开发环境的原因，我不得不运行它。gRPC服务器和代理在同一台码头机器上运行。拥有相同的IP地址将导致下面的配置，这将只是相互抵消(相信我，我还是试过了)。

ENV http_proxy 192.168.99.100:3128
ENV https_proxy 192.168.99.100:3128
ENV no_proxy 192.168.99.100 # <- this would be the gRPC server IP, which is the same as the proxy. resulting in nothing being run through a proxy.

分割在码头处理的ip将解决这个问题，然而，我什么也学不到，我想解决这个问题。我尝试过像应答这里那样设置不同的端口内部ip，但是IP将保持为空(只有网络将被设置)，而对新IP的访问将只是超时。

Answer 1

背景：

TLS连接的每一端都需要预先安排好的信任。大多数客户端在连接到远程主机时都使用系统信任链(GeoTrust、DigiCert CA的可信证书都列在那里，并允许您安全地访问https://facebook.com、https://google.com等网站)。

go在使用TLS时，在与服务器联系时将默认为系统信任链。开发自定义解决方案时，应用程序服务器的公共证书可能不在此系统信任链中。所以你有两个选择：

• 通过InsecureSkipVerify: true禁用信任(别执行此操作！)
• 向客户端添加自定义信任

很可能您的应用程序服务器有一个自签名证书，因此获得此证书的公共证书部分是简单。您还可以使用openssl等工具查看服务器的公共证书--使用链接解决方案，不仅可以为您自己的开发服务器获取公共证书，还可以为任何其他远程服务获取公共证书--只需提供主机名和端口即可。

所以我来总结一下你的情况。你有：

Client <- TLS -> Server

但却想：

Client <-TLS-> Proxy <-TLS-> Server

因此，您的客户机现在不再信任服务器，而是只需要信任代理--因为它只与代理直接对话。代理很可能有一个自签名证书(请参阅上面关于如何提取信任证书的内容)。完成此操作后，更新go代码以使用以下自定义信任文件：

// Get the SystemCertPool, continue with an empty pool on error
rootCAs, err := x509.SystemCertPool() // <- probably not needed, if we're only ever talking to this single proxy
if err != nil || rootCAs == nil {
    rootCAs = x509.NewCertPool()
}

// Read in the custom trust file
certs, err := ioutil.ReadFile(localTrustFile)
if err != nil {
    log.Fatalf("Failed to append %q to RootCAs: %v", localTrustFile, err)
}

// Append our cert to the system pool
if ok := rootCAs.AppendCertsFromPEM(certs); !ok {
    log.Fatalf("failed to append custom cert")
}

tlsConfig := &tls.Config{
    RootCAs: rootCAs,
}

代理还需要信任服务器--因此，如果服务器的证书不在系统信任链中--那么它将需要类似于上述的tls.Config设置。