TLS是微服务通信安全基础,Golang原生支持;HTTP可单向认证(ListenAndServeTLS),gRPC天然支持;mTLS需双向证书校验,须注意证书有效期、域名匹配与私钥保护。
在微服务架构中,服务间通信默认是明文的,容易被窃听或篡改。使用 TLS 加密传输是保障通信安全的基础手段。Golang 原生支持 TLS,无需第三方库即可为 HTTP、gRPC 等协议启用双向或单向加密。
准备 TLS 证书和私钥
生产环境建议使用由可信 CA(如 Let's Encrypt)签发的证书;开发测试可用自签名证书。生成方式如下:
- 用
openssl生成自签名证书:openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost" - 确保
cert.pem(公钥证书)和key.pem(私钥)文件可被服务读取,且私钥权限设为0600 - 若服务域名不是
localhost,请将CN或Subject Alternative Name (SAN)设为实际访问地址,否则客户端校验会失败
为 HTTP 服务启用 TLS(单向认证)
服务端只需提供证书和私钥,客户端验证服务端身份(不验证自身),适用于大多数内部 API 场景:
- 使用
http.ListenAndServeTLS启动 HTTPS 服务:http.ListenAndServeTLS(":8443", "cert.pem", "key.pem", nil) - 客户端需配置
http.Client使用 TLS,例如跳过证书校验(仅限开发):tr := &http.Transport{TLSClientConfig: &tls.Config{InsecureSkipVerify: true}}
生产环境应保留默认校验,并确保客户端信任服务端证书链
实现双向 TLS(mTLS)认证
服务端和客户端都需提供证书,彼此验证身份,适合高安全要求的微服务间调用:
立即学习“go语言免费学习笔记(深入)”;
- 服务端加载客户端 CA 证书用于验证请求方身份:
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert},
ClientAuth: tls.RequireAndVerifyClientCert,
ClientCAs: caPool,
} - 客户端发起请求时,也要加载自己的证书和私钥:
cert, _ := tls.LoadX509KeyPair("client.crt", "client.key")
tr := &http.Transport{TLSClientConfig: &tls.Config{Certificates: []tls.Certificate{cert}}} - 注意:客户端证书必须由服务端信任的 CA 签发,且服务端
caPool需预先解析好 CA 证书
与 gRPC 集成 TLS
gRPC 默认基于 HTTP/2,天然支持 TLS。服务端和客户端均通过 credentials 包配置:
- 服务端创建 TLS 凭据:
creds, _ := credentials.NewServerTLSFromFile("cert.pem", "key.pem")
s := grpc.NewServer(grpc.Creds(creds)) - 客户端连接时指定服务端证书或跳过验证:
creds, _ := credentials.NewClientTLSFromFile("server.crt", "example.com")
conn, _ := grpc.Dial("localhost:8080", grpc.WithTransportCredentials(creds))
若用自签名证书且无法预置 CA,可传nil并自定义tls.Config实现灵活校验
不复杂但容易忽略:证书有效期、域名匹配、私钥保护、CA 信任链完整性,这些细节往往比代码本身更影响 TLS 是否真正生效。
