.net core 使用Https總結_ZenDei技術網路在線

.net core 使用Https總結

-Advertisement-

最近想把網站的一個服務獨立出來專門提供數據用，交互用grpc，服務發現用consul，運行環境用docker 。現在問題來了，首先，grpc傳輸使用http2協議，http2協議需要https，在內網情況下我們可能不想用https，那麼grpc也是可以使用http的，參考：Http2Unencry ...

最近想把網站的一個服務獨立出來專門提供數據用，交互用grpc，服務發現用consul，運行環境用docker 。

現在問題來了，首先，grpc傳輸使用http2協議，http2協議需要https，在內網情況下我們可能不想用https，那麼grpc也是可以使用http的，參考：Http2UnencryptedSupport ，通過配置服務端監聽協議為http2,同時配置客戶端，則可以使用http協議調用grpc。

服務端的appsettings可以添加如下配置監聽協議：

  "Kestrel": {
    "EndpointDefaults": {
      "Protocols": "Http2"
    } 
  }

　　客戶端在Programs添加如下代碼：

            AppContext.SetSwitch(
                "System.Net.Http.SocketsHttpHandler.Http2UnencryptedSupport", true);

接下來的問題是，我的grpc服務希望通過consul來發現，但是consul的心跳檢測是不支持http2的。也就是說，我的grpc服務必須同時接受http/http2的協議訪問。.net core能不能支持呢？

其實是可以的，參考：ListenOptions.Protocols 。也就是把上面的 "Protocols": "Http2" 改成 "Protocols": "Http1AndHttp2" 。但是文章裡面又說了Http1AndHttp2使用條件:"HTTP/2 要求客戶端在 TLS 應用層協議協商 (ALPN) 握手過程中選擇 HTTP/2；否則，連接預設為 HTTP/1.1。"

也就是說使用grpc訪問服務時使用的是http地址的話，是用不了http2協議的。。。

那怎麼辦呢?我的考慮是

1.不使用consul了，直接訪問grpc服務，這不符合我的需求

2,只能上https了。使用https又有兩種方式，首先是用dev的證書，也就是地址是localhost的證書，這個.net core自己就能簽名，由於我的服務是運行在docker中，那就意味著localhost的話我所有的服務都需要在dockerker里同一個network下麵，這個很好解決，證書也容易獲取。

最後我選擇的是另一種方式，那就是自簽名證書。在windows下安裝openssl，並自簽名一個鏈式三級證書： CA證書>中間證書>服務證書。最後的服務證書指向的是grpc服務的ip地址。windows 下openssl的安裝參考：這裡。鏈式證書的生成參考：這裡。

不需要三級證書這麼麻煩的話其實可以直接生成服務證書作為根證書。

接下來說一下部署到docker上要註意的：

服務端的話，.netcore的證書需要 pfx格式，所以openssl生成的證書還要轉換成pfx，然後配置到docker中：參考

我是使用docker-compose部署的，所以需要在yml中添加環境變數：

    environment:
      - "ASPNETCORE_Kestrel__Certificates__Default__Path=/https/your.pfx"
      - "ASPNETCORE_Kestrel__Certificates__Default__Password=yourpassword"
      - "ASPNETCORE_URLS=https://+;http://+"

　　grpc客戶端需要信任剛剛生成的證書，客戶端是跑在windows，那麼雙擊證書安裝就可以了，想要查看windows下的證書，可以打開命令行，輸入mmc命令。如果是在docker，那麼還需要把證書拷進去更新，我的客戶端dockerfile添加了這兩段命令：

COPY "your.crt" "/usr/local/share/ca-certificates" 
RUN update-ca-certificates

　　意思是把證書拷到ca-certificates目錄下，並執行更新命令。

最後，再說下我的一個經驗：自簽名的證書在chrome下是不信任的，網上有教程可以添加信任。這一點 ie做得比較好，添加信任證書後IE是可以直接打開簽名的https網站且沒有警告的。

還有一個是客戶端環境沒有添加信任自簽名證書的話.net core程式是會報錯的，大意就是證書不信任。但是我在測試弔中間銷證書時發現.netcore 還是能正常訪問已經被吊銷證書的網站，而用IE打開的話IE會提示證書已經被吊銷，這個問題暫時不知道如何處理。

如何吊銷證書可以看:openssl生成證書鏈多級證書、證書吊銷列表（CRL）

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

16.ASP.NET Core應用程式中的開發者異常頁面中間件

Developer Exception Page Middleware in ASP.NET Core Application 在這篇文章中，我將向大家介紹，怎麼在ASP.NET Core應用程式中，使用異常頁面中間件，來處理我們程式中未處理的異常。在閱讀這篇文章之前，可以看看我這個系列的之前寫的文 ...
同步非同步多線程這三者關係，你能給面試官一個滿意的回答嗎？

前幾天一位朋友去面試，面試官問了他同步，非同步，多線程之間是什麼關係，非同步比同步高效在哪？多線程比單線程高效在哪？由於回答的不好，讓我幫他捋一下，其實回答這個問題不難，難就難在只對別人說理論，而沒有現殺的例子。一：非同步 1. 到底解放了誰？從基礎的同步說起要說解放了誰，一定得有幾個參與者，舉個例 ...
DLL/OCX文件的註冊與數據執行保護DEP

註冊/反註冊dll或ocx文件時，無論是用regsvr32還是DllRegisterServer/DllUnregisterServer，可能會遇到【記憶體位置訪問無效】的問題：此時把操作系統的數據執行保護（Data Execution Prevention，下稱DEP）徹底關掉，重啟，應該就能解決 ...
WPF 觸摸底層 PenImc 是如何工作的

在 WPF 裡面有其他軟體完全比不上的超快速的觸摸，這個觸摸是通過 PenImc 獲取的。現在 WPF 開源了，本文就帶大家來閱讀觸摸底層的代碼，閱讀本文需要一點 C# 和 C++ 基礎 ...
C# ORM學習筆記：T4入門及生成資料庫實體類

一、什麼是T4？ 1.1、T4簡介 T4，即4個T開頭的英文字母組合：Text Template Transformation Toolkit，是微軟官方在Visual Studio 2008開始使用的代碼生成引擎。T4是由一些文本塊和控制邏輯組成的混合模板，簡單地說，T4可以根據模板生成您想要的文 ...
C#獲取指定目錄下的指定文件

1.首先，需要指定獲取的文件夾，以及獲取文件的文件名; 文件夾：strLocalPath = System.Windows.Forms.Application.StartupPath + "\\ExcelTemplate\\"; 文件名：temp.xlsx 2.代碼： ExecutionResult ...
獲取本周的周一至當前日所對應的的日期

接上判斷當日為本周第幾天，接下來迴圈獲取周一至當前日對應的日期: for (int j = 0; j < DayinWeek; j++) { //星期對應Date string date = DateTime.Now.AddDays(1 - DayinWeek + j).ToString("yyyy ...
C#判斷某日為一個星期的第幾天

直接上代碼： int DayinWeek = 0; string week = DateTime.Today.DayOfWeek.ToString(); #region 獲取DayinWeek值 switch (week) { case "Monday": DayinWeek = 1; break; ...