MongoDB配置SSL安全连接
环境说明Mongodb 3.4 docker容器配置步骤服务器端证书配置服务器端证书配置服务器端需两个文件: ca.pem、server.pem生成ca.pem$ openssl req -out ca.pem -new -x509 -days 3650# 此处会要求配置ca.pem密码,后续将会用到参数说明-x509: 用于生成自签证书,如果不是自签证书则不需要此项-days:证书的有效期限,默
·
环境说明
- Mongodb 3.4 docker容器
配置步骤
服务器端证书配置
服务器端证书配置
服务器端需两个文件: ca.pem、server.pem
生成ca.pem
$ openssl req -out ca.pem -new -x509 -days 3650
# 此处会要求配置ca.pem密码,后续将会用到
参数说明
-x509: 用于生成自签证书,如果不是自签证书则不需要此项
-days: 证书的有效期限,默认是365天
生成server.pem
# 生成服务器端私钥
$ openssl genrsa -out server.key 2048
# 生成服务器端申请文件
$ openssl req -key server.key -new -out server.req
# 生成服务器端证书
$ openssl x509 -req -in server.req -CA ca.pem -CAkey privkey.pem -CAcreateserial -out server.crt -days 3650
# 合并服务器端私钥和服务器端证书,生成server.pem
$ cat server.key server.crt > server.pem
# 校验服务器端pem文件
$ openssl verify -CAfile ca.pem server.pem
server.pem: OK
服务器端配置
修改配置文件
mongodb的ssl配置默认是关闭的,需更改配置文件进行开启
$ vi mongod.conf
net:
# port: 27017
# bindIp: 127.0.0.1
ssl:
# 必须使用ssl连接
mode: requireSSL
# 必须使用绝对路径
PEMKeyFile: /etc/server.pem
# 必须使用绝对路径
CAFile: /etc/ca.pem
# 允许不可用主机名
allowInvalidHostnames: true
# 允许使用自签证书,如果使用自签证书必须配置该项,否则会认证失败
allowInvalidCertificates: true
启动MongoDB数据库
$ docker run --name mongo_test -d --restart always \
-p 27018:27017 \
-e MONGO_INITDB_ROOT_USERNAME=admin \
-e MONGO_INITDB_ROOT_PASSWORD=root \
-v /data/mongo/mongod.conf:/etc/mongod.conf \
-v /data/mongo/ca.pem:/etc/ca.pem \
-v /data/mongo/server.pem:/etc/server.pem \
mongo:3.4 --auth --master --config /etc/mongod.conf
客户端证书配置
生成client.pem
# 生成客户端私钥
$ openssl genrsa -out client.key 2048
# 生成客户端申请文件
$ openssl req -key client.key -new -out client.req
# 生成客户端证书
$ openssl x509 -req -in client.req -CA ca.pem -CAkey privkey.pem -CAserial ca.srl -out client.crt -days 3650
# 合并客户端私钥和客户端证书,生成client.pem
$ cat client.key client.crt > client.pem
# 校验客户端pem文件
$ openssl verify -CAfile ca.pem client.pem
client.pem: OK
测试连接
将ca.pem和client.pem拷贝到客户端主机,然后用navicat测试连接
权威|前沿|技术|干货|国内首个API全生命周期开发者社区
更多推荐
1
0- 0
已为社区贡献8条内容
所有评论(0)