[PU9功能解说] 如何用你自己的证书确保MongoDB连接的安全性？

lynn.yu

* 本文由赛捷软件（上海）有限公司翻译完成，未经授权不得转载。如需转载，请先联系相应版块的版主取得授权。



从PU9开始，你可以使用证书来确保MongoDB连接安全性，并且在安装MongoDB的过程中，你可以选择使用简化证书安装（自签名）或使用自己现有的证书。

在本文中，我想探讨一下从简化证书切换所需的步骤，以及如何用你现有的证书确保连接的安全性。

在我们开始之前，请查看关于“如何确保mongoDB访问安全”的在线帮助



此外，查看一下MongoDB教程“使用x.509证书验证客户端”也是不错的注意。

在这个示例中，我使用另一台服务器上的证书生成器生成了CA证书文件和服务器证书文件以及私钥文件，并且我将使用这些证书重做我的MongoDB连接的SSL证书。下面就是我要用来确保MongoDB安全性的文件。



步骤如下。

1.        确定MongoDB安装程序。
2.        按照提示更改现有的MongDB安装。
3.        勾选重做ssl配置复选框。



4.        选择“使用现有证书”。



5.        在此处输入所有正确的信息，你需要这些信息来提供服务器证书文件、私钥、CA证书和密码短语（如果有的话）。



6.        点击下一步，然后按照提示完成安装。

7.        完成上述步骤后，在你的MongoDB证书目录中你会找到如下两个文件。



8.        以上是MongoDB使用的服务器证书，现在需要生成一个客户端证书供Syracuse / Web服务器使用。要想生成客户端证书，你需要使用OpenSSL。

9.        所以首先，我会使用以下命令一个client.csr和client.key

10.        请注意，如MongoDB教程中所述，使用的公用名称必须与服务器证书中的公用名称不同。

11.        openssl req –newkey rsa:2048 –keyout client.key –out client-req.csr



12.        上述步骤创建了一个Client.key和client-req.csr

13.        现在，使用以下命令创建client.crt（请注意，你必须提供cs.cacrt和ca.cakey）



14.        上述步骤创建了一个client.crt证书文件。

15.        接下来，用以下命令删除加密密钥。



16.        然后，使用copy语句将client-nokey.key和client.crt合并到PEM文件中。



17.        通过上述步骤，你就有了一个client.pem文件。

18.        将client.pem和ca.cacrt文件复制到你的Syracuse MongoDb cert目录中。



19.        重启Syracuse服务。


结论：通过上述步骤，你可以创建一个客户端证书，并使用该证书确保Syracuse和MongoDB之间连接的安全性。