Question

对于生产Neo4j服务器，我需要使用非自签名的SSL证书。我将在下面的回复中发布经验教训。

Answer 1

sudo vi /etc/neo4j/neo4j-server.properties

uncomment org.neo4j.server.webserver.address=0.0.0.0
check: org.neo4j.server.webserver.https.enabled=true
check: org.neo4j.server.webserver.https.port=7473
change: org.neo4j.server.webserver.https.cert.location=/var/ssl/neo4j/server.crt
change: org.neo4j.server.webserver.https.key.location=/var/ssl/neo4j/server.key

现在设置了对https的访问权限注意：私钥和证书都需要采用DER格式

openssl genrsa -des3 -out server.key 4096
openssl req -new -key server.key -out server.csr

让server.csr（证书签名请求）由您选择的证书颁发机构签名。

要安装签名证书，请将其另存为server.pem并执行以下命令：

sudo mkdir -p /var/ssl/neo4j
sudo openssl x509 -outform der -in server.pem -out /var/ssl/neo4j/server.crt
sudo openssl rsa -in server.key -inform PEM -out /var/ssl/neo4j/server.key -outform DER

Answer 2

谢谢rvaneijk。它对我有用。

安装签名证书（从您的CA获取）。将您的pem和密钥文件保存在同一文件夹中。

以（der格式）创建扩展名为.crt

sudo openssl x509 -outform der -in your_server_pem.pem -out /.crt

创建DER格式化密钥

sudo openssl rsa -in server.key -inform PEM -out /.key -outform DER

http://www.scriptscoop2.com/t/8f3630652fcd/how-to-use-ssl-certificates-in-neo4j-instead-of-self-signed-certificat.html

Answer 3

如果您的neo4j服务器位于公共子网中，并且您想要有效的SSL保护传输中的数据。

对于证书生成，您可以使用本机AWS证书生成或LetsEncrypt。

LetsEncrypt- “让我们加密”是由Internet Security Research Group运营的非盈利证书颁发机构，它免费提供X.509证书用于传输层安全性加密。

安装LetsEncrypt-

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install -y certbot

生成免费证书-

$ sudo certbot certonly
Saving debug log to /var/log/letsencrypt/letsencrypt.log

# Change group of all letsencrypt files to neo4j
sudo chgrp -R neo4j /etc/letsencrypt/* 
# Make sure all directories and files are group readable.
sudo chmod -R g+rx /etc/letsencrypt/*

设置符号链接和neo4j期望的目录结构

cd /var/lib/neo4j/certificates
sudo mkdir revoked trusted bak
# Move old generated certificates into a backup directory
sudo mv neo4j.* bak
export MY_DOMAIN=graph.somehost.com
# Configure cert neo4j will use
sudo ln -s /etc/letsencrypt/live/$MY_DOMAIN/fullchain.pem neo4j.cert
# Configure private key neo4j will use
sudo ln -s /etc/letsencrypt/live/$MY_DOMAIN/privkey.pem neo4j.key
# Indicate that this cert is trusted for neo4j
sudo ln -s /etc/letsencrypt/live/$MY_DOMAIN/fullchain.pem trusted/neo4j.cert

更新Neo4jConf文件

dbms.connectors.default_listen_address=0.0.0.0
dbms.connectors.default_advertised_address=your.hostname.com
bolt.ssl_policy=default
dbms.ssl.policy.default.base_directory=/var/lib/neo4j/certificates
dbms.ssl.policy.default.allow_key_generation=false
dbms.ssl.policy.default.private_key=/var/lib/neo4j/certificates/neo4j.key
dbms.ssl.policy.default.public_certificate=/var/lib/neo4j/certificates/neo4j.cert
dbms.ssl.policy.default.revoked_dir=/var/lib/neo4j/certificates/revoked
dbms.ssl.policy.default.client_auth=NONE

重新启动所有节点。

如何在Neo4j中使用SSL证书而不是自签名证书（或snakeoil.cert）

3 个答案: