副本集和分片集群的成员相互进行身份验证。对于成员的内部身份验证,MongoDB 可以使用 密钥文件或x.509证书。
首先部署副本集,并启动副本集集群。
#生成ca:
openssl req -out ca.pem -new -x509 -days 3650
# 生成server.pem
#生成服务器端私钥
openssl genrsa -out server.key 2048
#生成服务器端申请文件
openssl req -key server.key -new -out server.req
#生成服务器端证书
openssl x509 -req -in server.req -CA ca.pem -CAkey privkey.pem -CAcreateserial -out server.crt -days 3550
#合并服务器端私钥和服务器端证书,生成server.pem
cat server.key server.crt > server.pem
#校验服务器端pem文件
openssl verify -CAfile ca.pem server.pem
net:
tls:
mode: requireTLS
certificateKeyFile: /etc/mongdb/mongossl/server.pem
CAFile: /etc/mongdb/mongossl/ca.pem
clusterFile: /etc/mongdb/mongossl/server.pem ##集群内部认证
allowInvalidCertificates: true
security:
clusterAuthMode: x509
查询pem证书里面的subject
openssl x509 -in server.pem -inform PEM -subject -nameopt RFC2253
db.getSiblingDB("$external").runCommand(
{
createUser:"CN=mongoserver,OU=OP,O=xxxxmongo,L=beijing,ST=beijing,C=CN",
roles:[
{role:"root",db:"admin"}
]
}
)
mongo --tls --tlsCertificateKeyFile /etc/mongdb/mongossl/server.pem --tlsCAFile /etc/mongdb/mongossl/ca.pem --authenticationDatabase='$external' --authenticationMechanism MONGODB-X509 --host=mongoserver --port=28017
注意host需要填写创建证书的时候的hostname