[英]Mongo SSL and the Java Driver
我正在使用从源构建的基于2.6.5的SSL的Mongo。 我使用节点之间的SSL成员通信设置了3节点复制集。 这一切正常!
SSL的配置如下所示:
# SSL options
sslMode = requireSSL
sslPEMKeyFile = /etc/ssl/mongo/serverSSL1.pem
sslCAFile = /etc/ssl/mongo/rootCA.pem
clusterAuthMode = x509
sslClusterFile = /etc/ssl/mongo/serverInternal1.pem
我已经建立了一个CA,并用它来对密钥文件和群集文件进行签名。 我的理解是, sslPEMKeyFile
用于加密通过网络传输的所有流量,而sslClusterFile
用于认证集群的成员。
正如我所说,到目前为止,一切都很好。
我的问题是使用Java驱动程序进行连接的客户端。 我正在使用2.12.4版进行连接,但我正在关闭...但没有雪茄。 我正在使用数据库中的PEM密钥动态生成密钥库(密钥库很好地生成),然后使用它尝试连接到MongoDB集群。
我正在使用以下代码创建连接并发出一个简单的命令:
try {
certs c = new certs(s);
MongoCredential credential = MongoCredential.createMongoX509Credential("emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=local.com,L=Nottingham,ST=Nottinghamshire,C=GB");
//m = new MongoClient(seeds, new MongoClientOptions.Builder().socketFactory(CertificateManager.prepFactory()).build());
m = new MongoClient(seeds, Arrays.asList(credential), new MongoClientOptions.Builder().socketFactory(c.getSSLSocketFactory()).build());
m.setReadPreference(ReadPreference.primaryPreferred());
m.setWriteConcern(WriteConcern.ACKNOWLEDGED);
}
catch (MongoException ex) {
System.out.println("a");
}
我已经生成了PEM证书,并以编程方式将其添加到密钥库(从c.getSSLSocketFactory()
返回)中,与生成原始成员证书的方式几乎相同。
CERNAME=client
openssl genrsa -out $CERNAME.key 4096
openssl req -new -key $CERNAME.key -out $CERNAME.csr -subj "/C=GB/ST=Nottinghamshire/L=Nottingham/O=Local.com/OU=Mongo Clients/CN=10.27.2.103/emailAddress=administrator@local.com"
openssl x509 -req -in $CERNAME.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out $CERNAME.crt -days 365
cat $CERNAME.key $CERNAME.crt > $CERNAME.pem
openssl pkcs8 -topk8 -in $CERNAME.pem -inform pem -out $CERNAME-pk8.key -outform pem -nocrypt
cat $CERNAME-pk8.key $CERNAME.crt > $CERNAME-pk8.pem
我已将用户添加到集群中:
db.getSiblingDB("$external").auth(
{
mechanism: "MONGODB-X509",
user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Clients,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB"
}
)
当我运行Java代码并尝试连接时,我从客户端收到以下错误:
Exception in thread "main" com.mongodb.CommandFailureException: { "serverUsed" : "mongo1.local.com:22000" , "ok" : 0.0 , "errmsg" : "auth failed" , "code" : 18}
at com.mongodb.CommandResult.getException(CommandResult.java:76)
at com.mongodb.CommandResult.throwOnError(CommandResult.java:131)
at com.mongodb.DBPort$X509Authenticator.authenticate(DBPort.java:624)
at com.mongodb.DBPort.authenticate(DBPort.java:364)
at com.mongodb.DBPort.checkAuth(DBPort.java:375)
at com.mongodb.DBTCPConnector.innerCall(DBTCPConnector.java:291)
at com.mongodb.DBTCPConnector.call(DBTCPConnector.java:271)
at com.mongodb.DBCollectionImpl.find(DBCollectionImpl.java:84)
at com.mongodb.DB.command(DB.java:317)
at com.mongodb.DB.command(DB.java:296)
at com.mongodb.DBCollection.getStats(DBCollection.java:1742)
at test.Test.mongoConnection(Test.java:105)
at test.Test.main(Test.java:67)
在服务器日志中,我得到:
2014-11-21T21:48:17.810+0000 [conn23719] authenticate db: $external { authenticate: 1, user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB", mechanism: "MONGODB-X509" }
2014-11-21T21:48:17.810+0000 [conn23719] Failed to authenticate emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB@$external with mechanism MONGODB-X509: AuthenticationFailed There is no x.509 client certificate matching the user.
我已经启用了Java调试功能,据我所知-这似乎只引用了一次或两次以上证书-这是在将代码添加到密钥库时执行代码的开始。 建立Mongo连接时,没有进一步提及。 但是,在建立连接时,有很多提及在SSL握手中使用的其他证书。
我尝试提供尽可能多的相关信息,但请问我是否还能提供其他任何信息。
我们非常感谢您提供任何帮助客户端连接数据库并进行身份验证的帮助。
答案是确保使用主题作为别名将密钥添加到密钥库。
在我的示例中,我添加了别名为emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Clients,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB
工作正常。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.