gRPCクライアントサーバ通信でSSLを使用

Question

私はSSL/TLSについて何も知らず、gRPCでSSL/TLSチャネルを使用しようとしています。ここで は、サーバーのコードです：

std::string server_address("0.0.0.0:50051"); 
    GreeterServiceImpl service; 

    grpc::SslServerCredentialsOptions::PemKeyCertPair pkcp ={"a","b"}; 
    grpc::SslServerCredentialsOptions ssl_opts; 
    ssl_opts.pem_root_certs=""; 
    ssl_opts.pem_key_cert_pairs.push_back(pkcp); 

    std::shared_ptr<grpc::ServerCredentials> creds; 
    creds = grpc::SslServerCredentials(ssl_opts); 

    ServerBuilder builder; 
    builder.AddListeningPort(server_address, creds); 
    builder.RegisterService(&service); 
    std::unique_ptr<Server> server(builder.BuildAndStart()); 

サーバが起動すると、次のエラーで終了しません。

E1115 13:00:55.657846941 17129 ssl_transport_security.c:636] Invalid cert chain file. 
E1115 13:00:55.657936436 17129 security_connector.c:830] Handshaker factory creation failed with TSI_INVALID_ARGUMENT. 
E1115 13:00:55.657954952 17129 server_secure_chttp2.c:344] {"created":"@1479243655.657946821","description":"Unable to create secure server with credentials of type Ssl.","file":"src/core/ext/transport/chttp2/server/secure/server_secure_chttp2.c","file_line":242,"security_status":1} 
Server listening on 0.0.0.0:50051 
Segmentation fault (core dumped) 

私がやりたいことは、サーバーとクライアントの通信にSSLを使用することだけです。サーバーに適切な証明書がないと思われ、同様のことがクライアントに必要と思われるように見えます。私はSSLの背景を持っていないので誰も私がどのようにそれらの証明書を作成し、gRPC通信のために適切に使用するかについての例を教えてくれるといいでしょう。

Answer 1

証明書の作成方法に問題があるようです。 StackOverflowで証明書を作成する方法を示した投稿を忘れてしまった。そのメソッドを使用し、キーと証明書を接続して機能させました。

鍵（server.key）と証明書（server.crt）の作成方法は次のとおりです。

mypass="pass123" 

echo Generate server key: 
openssl genrsa -passout pass:$mypass -des3 -out server.key 4096 

echo Generate server signing request: 
openssl req -passin pass:$mypass -new -key server.key -out server.csr -subj "/C=US/ST=CA/L=SanFrancisco/O=Google/OU=youtube/CN=localhost" 

echo Self-sign server certificate: 
openssl x509 -req -passin pass:$mypass -days 365 -in server.csr -signkey server.key -set_serial 01 -out server.crt 

echo Remove passphrase from server key: 
openssl rsa -passin pass:$mypass -in server.key -out server.key 

rm server.csr 

ここではlocalhostの使用に注意してください。クライアントチャネルの作成時にも同じを使用する必要があります。 例をgrpcコードベースから修正して使用しました。以下のようなサーバー。

std::string server_address("0.0.0.0:50051"); 
GreeterServiceImpl service; 

std::string servercert = read_keycert("server.crt"); 
std::string serverkey = read_keycert("server.key"); 

grpc::SslServerCredentialsOptions::PemKeyCertPair pkcp; 
pkcp.private_key = serverkey; 
pkcp.cert_chain = servercert; 

grpc::SslServerCredentialsOptions ssl_opts; 
ssl_opts.pem_root_certs=""; 
ssl_opts.pem_key_cert_pairs.push_back(pkcp); 

std::shared_ptr<grpc::ServerCredentials> creds; 
creds = grpc::SslServerCredentials(ssl_opts); 

ServerBuilder builder; 
builder.AddListeningPort(server_address, creds); 
builder.RegisterService(&service); 
std::unique_ptr<Server> server(builder.BuildAndStart()); 
server->Wait(); 

クライアントでのみ証明書が必要です。私の場合、それがどのように使われているのです。

std::string cacert = read_keycert("server.crt"); 
grpc::SslCredentialsOptions ssl_opts; 
ssl_opts.pem_root_certs=cacert; 

auto ssl_creds = grpc::SslCredentials(ssl_opts); 
GreeterClient greeter(grpc::CreateChannel("localhost:50051", ssl_creds)); 

キーと証明書の生成方法と使用方法は、使用方法ごとに異なります。私は、2つのサーバーが通信する場合、これらが異なるかもしれないと思います。わからない。これは、初心者がgRPC C++の安全なSSL/TLSを使い始めるのを助けてくれることを願っています。