Fabric的节点通过grpc向内部或外部提供接口，在学习源码之前，需要对grpc的基本使用有所了解，并了解如何在grpc中配置tls。本节整理了go语言中grpc使用tls加密的方法。

以下实例的代码可见https://github.com/ssj234/fabric/tree/master/grpc-go 里面的serverside和fourmode

3.1 服务器端加密

在grpc中加密信道最简单的方法是在服务端使用TLS，也就是说服务器初始化时需要指定一对公/私钥，客户端在建立连接时需要指定服务端的公钥，下面是在01章节hello的基础上改造后的程序。

在编写代码之前，我们需要先生成服务器的私钥和证书，生成方法可以使用openssl，具体可以看01-PKI及使用Openssl自建CA,也可以使用fabric的cryptogen工具生成，可见Hyperledger Fabric开发实战-02简单网络中生成证书一节。

推荐使用openssl生产，比较简单，只需要下面两个命令就可以生成私钥和自签名证书

openssl genrsa -out private.key 2048
openssl req -new -x509 -key private.key -out root.crt

需要注意的是，在生成证书时，Common Name时输入一个域名，如jianshu.test.com

服务端代码
在01节中，我们使用了hello服务演示了grpc，现在为其加入服务端加密功能。

// 1.定义位置
var (
    key = path.Join("/home/..../awesomeProject/serverside" ,"private.key")
    servercrt  = path.Join("/home/.../awesomeProject/serverside" ,"root.crt");
)
// 2.从文件读取私钥和证书创建TLS服务器
    creds, err := credentials.NewServerTLSFromFile(servercrt,key)

// 3.获取设置加密的ServerOption，加入opts中
var opts []grpc.ServerOption // 服务器端的配置参数
opts = append(opts,grpc.Creds(creds)) 
grpcServer := grpc.NewServer(opts...)

客户端代码

// 1.定义服务器证书位置
var servercrt = path.Join("/home/shisj/mycode/gowksp/src/github.com/hyperledger/awesomeProject/serverside" ,"root.crt");
// 2.创建客户端加密option
creds, err := credentials.NewClientTLSFromFile(servercrt, "")
var opts []grpc.DialOption
// 3.加入opts
opts = append(opts, grpc.WithTransportCredentials(creds))
conn, err := grpc.Dial("jianshu.test.com:9999", opts...)

这样，就完成了服务端加密的TLS通信设置，需要注意，访问需要使用服务器证书的域名，可以修改/etc/hosts映射到本地localhost。

3.2 双向加密

上面我们完成了服务端加密，但是在分布式环境中，每个服务器都有自己的私钥和证书，如果服务器很多，客户端需要维护很多的服务器证书，这很让人头疼。不过，我们有其他的解决方法，服务器和客户端可以加载自己的私钥和证书，然后加载在ca的证书，如果服务器和客户端的证书都是由ca证书发布的，那么可以通过ca证书验证与自己通信的节点证书是否有效。这样在信道上，双方都可以做加密处理。

在编写程序之前，还是需要先准备ca证书，并让其发布客户端证书和服务器证书。具体方法可以参阅01-PKI及使用Openssl自建CA,也可以使用fabric的cryptogen工具生成。这里我们使用crypto生成的证书，在02-cryptogen的帐号管理体系中，我们可以看到，对于每个组织来说，有一个tls的根证书，在peerOrganizations/org1.cmbc.com/tlsca内保存，使用openssl可以查看其是一个自签名的证书。对于这个组织内的peer0和peer1，内部的tls中保存了组织的根证书，peer的私钥和证书，因此，我们可以使用peer0和peer1的证书完成双向TLS配置。

服务端程序

// 1.从文件读取私钥和证书创建TLS服务器
certificate, err := tls.LoadX509KeyPair(servercrt, serverkey)
if err != nil {
    log.Fatalf("could not load server key pair: %s", err)
}
// 2.根据cacrt创建就一个certificate pool
certPool := x509.NewCertPool()
ca, err := ioutil.ReadFile(cacrt)
if err != nil {
    log.Fatalf("could not read ca certificate: %s", err)
}
// 3.将cacrt加入到certificate pool
if ok := certPool.AppendCertsFromPEM(ca); !ok {
    log.Fatalf("failed to append client certs")
}

// 4.创建credentials
creds := credentials.NewTLS(&tls.Config{
    ClientAuth:   tls.RequireAndVerifyClientCert,
    Certificates: []tls.Certificate{certificate},
    ClientCAs:    certPool,
})

客户端程序

// 1.从磁盘加载证书
certificate, err := tls.LoadX509KeyPair(clientcrt, clientkey)
if err != nil {
    log.Fatalf("could not load client key pair: %s", err)
}
// 2.创建证书pool
certPool := x509.NewCertPool()
ca, err := ioutil.ReadFile(clientcacrt)
if err != nil {
    log.Fatalf("could not read ca certificate: %s", err)
}

// 3.将cacrt加入证书pool
if ok := certPool.AppendCertsFromPEM(ca); !ok {
    log.Fatalf("failed to append ca certs")
}
// 4.配置credentials
creds := credentials.NewTLS(&tls.Config{
    ServerName:   "peer0.org1.cmbc.com", // NOTE: this is required!
    Certificates: []tls.Certificate{certificate},
    RootCAs:      certPool,
})