我正在使用基于2.6.5的SSL构建的Mongo。我在节点之间建立了一个3节点复制集,其中包含SSL成员通信。这一切都有效!
SSL的配置如下所示:
# SSL options
sslMode = requireSSL
sslPEMKeyFile = /etc/ssl/mongo/serverSSL1.pem
sslCAFile = /etc/ssl/mongo/rootCA.pem
clusterAuthMode = x509
sslClusterFile = /etc/ssl/mongo/serverInternal1.pem
我已经设置了一个CA并用它来签署密钥文件和群集文件。我的理解是sslPEMKeyFile用于加密通过线路传输的所有流量,sslClusterFile用于验证群集成员。
正如我所说,到目前为止,这么好。
我的问题是客户端使用Java驱动程序进行连接。我正在使用2.12.4版进行连接,我很接近......但没有雪茄。我正在使用来自数据库的PEM密钥动态生成密钥库(密钥库生成很好),然后我使用它来尝试连接到MongoDB集群。
我正在使用以下代码创建连接并发出一个简单的命令:
try {
certs c = new certs(s);
MongoCredential credential = MongoCredential.createMongoX509Credential("emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=local.com,L=Nottingham,ST=Nottinghamshire,C=GB");
//m = new MongoClient(seeds, new MongoClientOptions.Builder().socketFactory(CertificateManager.prepFactory()).build());
m = new MongoClient(seeds, Arrays.asList(credential), new MongoClientOptions.Builder().socketFactory(c.getSSLSocketFactory()).build());
m.setReadPreference(ReadPreference.primaryPreferred());
m.setWriteConcern(WriteConcern.ACKNOWLEDGED);
}
catch (MongoException ex) {
System.out.println("a");
}
我已经生成了一个PEM证书,并以编程方式将其添加到密钥库(从c.getSSLSocketFactory()返回),其方式与我生成原始成员证书的方式大致相同。
CERNAME=client
openssl genrsa -out $CERNAME.key 4096
openssl req -new -key $CERNAME.key -out $CERNAME.csr -subj "/C=GB/ST=Nottinghamshire/L=Nottingham/O=Local.com/OU=Mongo Clients/CN=10.27.2.103/emailAddress=administrator@local.com"
openssl x509 -req -in $CERNAME.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out $CERNAME.crt -days 365
cat $CERNAME.key $CERNAME.crt > $CERNAME.pem
openssl pkcs8 -topk8 -in $CERNAME.pem -inform pem -out $CERNAME-pk8.key -outform pem -nocrypt
cat $CERNAME-pk8.key $CERNAME.crt > $CERNAME-pk8.pem
我已将用户添加到群集中:
db.getSiblingDB("$external").auth(
{
mechanism: "MONGODB-X509",
user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Clients,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB"
}
)
当我运行Java代码并尝试连接时,我从客户端收到以下错误:
Exception in thread "main" com.mongodb.CommandFailureException: { "serverUsed" : "mongo1.local.com:22000" , "ok" : 0.0 , "errmsg" : "auth failed" , "code" : 18}
at com.mongodb.CommandResult.getException(CommandResult.java:76)
at com.mongodb.CommandResult.throwOnError(CommandResult.java:131)
at com.mongodb.DBPort$X509Authenticator.authenticate(DBPort.java:624)
at com.mongodb.DBPort.authenticate(DBPort.java:364)
at com.mongodb.DBPort.checkAuth(DBPort.java:375)
at com.mongodb.DBTCPConnector.innerCall(DBTCPConnector.java:291)
at com.mongodb.DBTCPConnector.call(DBTCPConnector.java:271)
at com.mongodb.DBCollectionImpl.find(DBCollectionImpl.java:84)
at com.mongodb.DB.command(DB.java:317)
at com.mongodb.DB.command(DB.java:296)
at com.mongodb.DBCollection.getStats(DBCollection.java:1742)
at test.Test.mongoConnection(Test.java:105)
at test.Test.main(Test.java:67)
在服务器日志中我得到:
2014-11-21T21:48:17.810+0000 [conn23719] authenticate db: $external { authenticate: 1, user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB", mechanism: "MONGODB-X509" }
2014-11-21T21:48:17.810+0000 [conn23719] Failed to authenticate emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB@$external with mechanism MONGODB-X509: AuthenticationFailed There is no x.509 client certificate matching the user.
我已经启用了Java调试,这就我的知识带来了 - 似乎它只引用了上述证书一次或两次 - 这是在代码执行开始时将它添加到密钥库。在进行Mongo连接时,没有进一步提及它。但是,有很多提及在建立连接时SSL握手中使用的其他证书。
我试图提供尽可能多的相关信息,但请问我是否可以提供其他任何信息。
任何帮助客户端连接和验证数据库的帮助都将非常感激。
答案 0 :(得分:0)
答案是确保使用主题作为别名将密钥添加到密钥库。
对于我的示例,我添加了别名为emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Clients,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB的密钥,并且它的工作正常。