MongoDB配置SSL安全连接

环境说明

• Mongodb 3.4 docker容器

配置步骤

服务器端证书配置

服务器端证书配置

服务器端需两个文件: ca.pem、server.pem

生成ca.pem

$ openssl req -out ca.pem -new -x509 -days 3650
# 此处会要求配置ca.pem密码，后续将会用到

参数说明
-x509： 用于生成自签证书，如果不是自签证书则不需要此项
-days: 证书的有效期限，默认是365天

生成server.pem

# 生成服务器端私钥
$ openssl genrsa -out server.key 2048
# 生成服务器端申请文件
$ openssl req -key server.key -new -out server.req
# 生成服务器端证书
$ openssl x509 -req -in server.req -CA ca.pem -CAkey privkey.pem -CAcreateserial -out server.crt -days 3650
# 合并服务器端私钥和服务器端证书，生成server.pem
$ cat server.key server.crt > server.pem
# 校验服务器端pem文件
$ openssl verify -CAfile ca.pem server.pem
server.pem: OK

服务器端配置

修改配置文件

mongodb的ssl配置默认是关闭的，需更改配置文件进行开启

$ vi mongod.conf
net:
#  port: 27017
#  bindIp: 127.0.0.1
  ssl:
    # 必须使用ssl连接
    mode: requireSSL
    # 必须使用绝对路径
    PEMKeyFile: /etc/server.pem
    # 必须使用绝对路径
    CAFile: /etc/ca.pem
    # 允许不可用主机名
    allowInvalidHostnames: true
    # 允许使用自签证书,如果使用自签证书必须配置该项，否则会认证失败
    allowInvalidCertificates: true

启动MongoDB数据库

$ docker run --name mongo_test -d --restart always \
  -p 27018:27017 \
  -e MONGO_INITDB_ROOT_USERNAME=admin \
  -e MONGO_INITDB_ROOT_PASSWORD=root \
  -v /data/mongo/mongod.conf:/etc/mongod.conf \
  -v /data/mongo/ca.pem:/etc/ca.pem \ 
  -v /data/mongo/server.pem:/etc/server.pem \
  mongo:3.4 --auth --master --config /etc/mongod.conf

客户端证书配置

生成client.pem

# 生成客户端私钥
$ openssl genrsa -out client.key 2048
# 生成客户端申请文件
$ openssl req -key client.key -new -out client.req
# 生成客户端证书
$ openssl x509 -req -in client.req -CA ca.pem -CAkey privkey.pem -CAserial ca.srl  -out client.crt -days 3650
# 合并客户端私钥和客户端证书，生成client.pem
$ cat client.key client.crt > client.pem
# 校验客户端pem文件
$ openssl verify -CAfile ca.pem client.pem
client.pem: OK

测试连接

将ca.pem和client.pem拷贝到客户端主机，然后用navicat测试连接