Docs Menu
Docs Home
/
MongoDBマニュアル
/ / /

付録 C - 自己管理型配置をテストするための OpenSSL クライアント証明書

警告

Disclaimer

このページはテスト目的のみで提供されており、証明書はテスト目的のみ で提供されています。

次のチュートリアルでは、テストx.509 証明書を作成するためのいくつかの基本的な手順を説明します。

  • これらの証明書は本番環境では使用しないでください。 代わりに、セキュリティ ポリシーに従ってください。

  • OpenSSL の詳細については、 公式 OpenSSL Docsを参照してください。 このチュートリアルでは OpenSSL を使用していますが、このドキュメントを OpenSSL の権限のある参照として使用しないでください。

このページで説明されている手順では、テスト中間局証明書とキーmongodb-test-ia.crt で作成されたmongodb-test-ia.keyを使用して自己管理型配置をテストするためのOpenSSL CA証明書を使用します。

次の手順では、MongoDB クライアントのテスト証明書を作成する手順を概説します。 MongoDB サーバーのテスト証明書を作成する手順については、「付録 B - 自己管理型配置をテストするための OpenSSL サーバー証明書 」を参照してください。

  1. 次の内容でクライアント用のテスト構成ファイル openssl-test-client.cnfを作成します。

    # NOT FOR PRODUCTION USE. OpenSSL configuration file for testing.
    [ req ]
    default_bits = 4096
    default_keyfile = myTestClientCertificateKey.pem ## The default private key file name.
    default_md = sha256
    distinguished_name = req_dn
    req_extensions = v3_req
    [ v3_req ]
    subjectKeyIdentifier = hash
    basicConstraints = CA:FALSE
    keyUsage = critical, digitalSignature, keyEncipherment
    nsComment = "OpenSSL Generated Certificate for TESTING only. NOT FOR PRODUCTION USE."
    extendedKeyUsage = serverAuth, clientAuth
    [ req_dn ]
    countryName = Country Name (2 letter code)
    countryName_default =
    countryName_min = 2
    countryName_max = 2
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = TestClientCertificateState
    stateOrProvinceName_max = 64
    localityName = Locality Name (eg, city)
    localityName_default = TestClientCertificateLocality
    localityName_max = 64
    organizationName = Organization Name (eg, company)
    organizationName_default = TestClientCertificateOrg
    organizationName_max = 64
    organizationalUnitName = Organizational Unit Name (eg, section)
    organizationalUnitName_default = TestClientCertificateOrgUnit
    organizationalUnitName_max = 64
    commonName = Common Name (eg, YOUR name)
    commonName_max = 64
  2. 任意。 デフォルトの識別名(DN)値を更新できます。 クライアント証明書が、次の属性の少なくとも 1 つについて、サーバー証明書と異なることを確認してください。組織( O )、組織単位( OU )、またはドメインコンポーネント( DC )。

  1. テストキー ファイルmongodb-test-client.keyを作成します。

    openssl genrsa -out mongodb-test-client.key 4096
  2. テスト証明書署名リクエストmongodb-test-client.csrを作成します。 [Distinguished Name(識別名)] の値を入力するよう求められたら、テスト証明書に適した値を入力します。

    重要

    クライアント証明書サブジェクトは、次の属性の少なくとも 1 つについて、サーバー証明書サブジェクトと異なる必要があります。組織(O)、組織単位(OU)、またはドメインコンポーネント(DC)。

    openssl req -new -key mongodb-test-client.key -out mongodb-test-client.csr -config openssl-test-client.cnf
  3. テストクライアント証明書mongodb-test-client.crtを作成します。

    openssl x509 -sha256 -req -days 365 -in mongodb-test-client.csr -CA mongodb-test-ia.crt -CAkey mongodb-test-ia.key -CAcreateserial -out mongodb-test-client.crt -extfile openssl-test-client.cnf -extensions v3_req
  4. クライアントのテストPEM ファイルを作成します。

    cat mongodb-test-client.crt mongodb-test-client.key > test-client.pem

    テスト PEM ファイルを使用して、mongosh TLS/SSL テスト 用の を構成できます。たとえば、 mongodまたはmongosに接続するには、次の手順に従います。

    クライアントの次のオプションを含めます。

    mongosh --tls --host <serverHost> --tlsCertificateKeyFile test-client.pem --tlsCAFile test-ca.pem
    macOS の場合、

    キーチェーンアクセスで証明書を管理するためにテストしている場合は、PEM ファイルの代わりにキーチェーンアクセスに追加する PKCS 12 ファイルを作成します。

    openssl pkcs12 -export -out test-client.pfx -inkey mongodb-test-client.key -in mongodb-test-client.crt -certfile mongodb-test-ia.crt

    キーチェーンアクセスに追加すると、証明書鍵ファイルを指定する代わりに、 --tlsCertificateSelectorを使用して使用する証明書を指定できます。 CA ファイルもキーチェーンアクセスにある場合は、次の例のように--tlsCAFileを省略することができます。

    mongosh --tls --tlsCertificateSelector subject="<TestClientCertificateCommonName>"

    キーチェーンアクセスへの証明書の追加については、 キーチェーンアクセスの公式ドキュメント を参照してください。

Tip

以下も参照してください。

戻る

OpenSSL Server