• mongodb使用x509认证


    副本集和分片集群的成员相互进行身份验证。对于成员的内部身份验证,MongoDB 可以使用 密钥文件或x.509证书。

    首先部署副本集,并启动副本集集群。

    生成x509证书(使用自签)

    #生成ca:

    openssl req -out ca.pem -new -x509 -days 3650

    # 生成server.pem
    #生成服务器端私钥

     openssl genrsa -out server.key 2048

    #生成服务器端申请文件

    openssl req -key server.key -new -out server.req

    #生成服务器端证书

    openssl x509 -req -in server.req -CA ca.pem -CAkey privkey.pem -CAcreateserial -out server.crt -days 3550

    #合并服务器端私钥和服务器端证书,生成server.pem

    cat server.key server.crt > server.pem

    #校验服务器端pem文件

    openssl verify -CAfile ca.pem server.pem

    修改mongodb的配置文件mongo.conf,添加tls认证:

    net:
      tls:
        mode: requireTLS
        certificateKeyFile: /etc/mongdb/mongossl/server.pem
        CAFile: /etc/mongdb/mongossl/ca.pem
        clusterFile: /etc/mongdb/mongossl/server.pem    ##集群内部认证
        allowInvalidCertificates: true
    security:
      clusterAuthMode: x509

    使用pem证书进行添加mongodb用户

    查询pem证书里面的subject

    openssl x509 -in server.pem -inform PEM -subject -nameopt RFC2253

    登录mongodb,使用x.509证书的subject进行创建用户

    db.getSiblingDB("$external").runCommand(
     {
      createUser:"CN=mongoserver,OU=OP,O=xxxxmongo,L=beijing,ST=beijing,C=CN",
      roles:[
       {role:"root",db:"admin"}
       ]
     }
    )

    重启mongodb

    登录测试连接:

    mongo --tls --tlsCertificateKeyFile /etc/mongdb/mongossl/server.pem --tlsCAFile /etc/mongdb/mongossl/ca.pem --authenticationDatabase='$external' --authenticationMechanism MONGODB-X509 --host=mongoserver --port=28017

    注意host需要填写创建证书的时候的hostname

     

  • 相关阅读:
    张雪峰说网络空间安全专业
    前端js实现井字游戏和版本号对比js逻辑【适用于vue和react】
    HDLC原理与配置
    关于NAND FLASH解扣的认识
    【数据库】03_sql语句02
    游戏工作室为什么要使用海外住宅IP防封?
    音乐信息提取-1-音频表示
    「运维有小邓」自助AD更新
    分布式事务
    GO微服务实战第十节 案例:微服务 Docker 容器化部署和 Kubernete 容器编排
  • 原文地址:https://blog.csdn.net/Linux_newbie_rookie/article/details/126406262