付録 B - 自己管理型配置をテストするための OpenSSL サーバー証明書
警告
Disclaimer
このページはテスト目的のみで提供されており、証明書はテスト目的のみ で提供されています。
次のチュートリアルでは、テストx.509 証明書を作成するためのいくつかの基本的な手順を説明します。
これらの証明書は本番環境では使用しないでください。 代わりに、セキュリティ ポリシーに従ってください。
OpenSSL の詳細については、 公式 OpenSSL Docsを参照してください。 このチュートリアルでは OpenSSL を使用していますが、このドキュメントを OpenSSL の権限のある参照として使用しないでください。
前提条件
このページで説明されている手順では、テスト中間局証明書とキーmongodb-test-ia.crt
と mongodb-test-ia.key
で作成された を使用し、
手順
次の手順では、MongoDB サーバーのテスト証明書を作成する手順を概説します。 MongoDB クライアントのテスト証明書を作成する手順については、「付録 C - 自己管理型配置をテストするための OpenSSL クライアント証明書 」を参照してください。
A. OpenSSL 構成ファイルを作成する
次の内容でサーバー用のテスト構成ファイル
openssl-test-server.cnf
を作成します。# NOT FOR PRODUCTION USE. OpenSSL configuration file for testing. [ req ] default_bits = 4096 default_keyfile = myTestServerCertificateKey.pem ## The default private key file name. default_md = sha256 distinguished_name = req_dn req_extensions = v3_req [ v3_req ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = critical, digitalSignature, keyEncipherment nsComment = "OpenSSL Generated Certificate for TESTING only. NOT FOR PRODUCTION USE." extendedKeyUsage = serverAuth, clientAuth subjectAltName = @alt_names [ alt_names ] DNS.1 = ##TODO: Enter the DNS names. The DNS names should match the server names. DNS.2 = ##TODO: Enter the DNS names. The DNS names should match the server names. IP.1 = ##TODO: Enter the IP address. IP.2 = ##TODO: Enter the IP address. [ req_dn ] countryName = Country Name (2 letter code) countryName_default = TestServerCertificateCountry countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = TestServerCertificateState stateOrProvinceName_max = 64 localityName = Locality Name (eg, city) localityName_default = TestServerCertificateLocality localityName_max = 64 organizationName = Organization Name (eg, company) organizationName_default = TestServerCertificateOrg organizationName_max = 64 organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = TestServerCertificateOrgUnit organizationalUnitName_max = 64 commonName = Common Name (eg, YOUR name) commonName_max = 64 [alt_names]
セクションで、 MongoDBサーバーの適切な DNS 名やIPアドレスを入力します。 MongoDBサーバーには複数の DNS 名を指定できます。OpenSSL SAN 識別子の場合、MongoDB は以下をサポートしています。
DNS 名や
IP アドレス フィールド
任意。 デフォルトの識別名(DN)値を更新できます。
Tip
次の属性の少なくとも 1 つに空でない値を指定します。組織(
O
)、組織単位(OU
)、またはドメインコンポーネント(DC
)。内部メンバーシップ認証用のテストサーバー証明書を作成する場合、次の属性(指定されている場合)は、組織(
O
)、組織単位(OU
)、ドメインコンポーネント(DC
)と完全に一致する必要があります。内部メンバーシップ認証の要件の詳細については、「 メンバーシップ認証 」を参照してください。
B. サーバー用のテスト PEM ファイルを生成する
重要
続行する前に、構成ファイルopenssl-test-server.cnf
の[alt_names]
セクションに適切な DNS 名が入力されていることを確認してください。
テストキー ファイル
mongodb-test-server1.key
を作成します。openssl genrsa -out mongodb-test-server1.key 4096 テスト証明書署名リクエスト
mongodb-test-server1.csr
を作成します。[Distinguished Name(識別名)] の値を入力するよう求められたら、テスト証明書に適した値を入力します。
次の属性の少なくとも 1 つに空でない値を指定します。組織(
O
)、組織単位(OU
)、またはドメインコンポーネント(DC
)。内部メンバーシップ認証用のテストサーバー証明書を作成する場合、次の属性(指定されている場合)は、組織(
O
)、組織単位(OU
)、ドメインコンポーネント(DC
)と完全に一致する必要があります。
openssl req -new -key mongodb-test-server1.key -out mongodb-test-server1.csr -config openssl-test-server.cnf テストサーバー証明書
mongodb-test-server1.crt
を作成します。openssl x509 -sha256 -req -days 365 -in mongodb-test-server1.csr -CA mongodb-test-ia.crt -CAkey mongodb-test-ia.key -CAcreateserial -out mongodb-test-server1.crt -extfile openssl-test-server.cnf -extensions v3_req サーバーのテストPEM ファイルを作成します。
cat mongodb-test-server1.crt mongodb-test-server1.key > test-server1.pem TLS/SSL テスト
mongod
mongos
用に または を構成する際に、 テスト PEM ファイルを使用できます。例:例
mongod --tlsMode requireTLS --tlsCertificateKeyFile test-server1.pem --tlsCAFile test-ca.pem - macOS の場合、
証明書を管理するためにキーチェーンアクセスでテストしている場合は、PEM ファイルの代わりにキーチェーンアクセスに追加する pkcs-12 ファイルを作成します。
openssl pkcs12 -export -out test-server1.pfx -inkey mongodb-test-server1.key -in mongodb-test-server1.crt -certfile mongodb-test-ia.crt キーチェーン アクセスに追加すると、証明書鍵ファイルを指定する代わりに、
--tlsCertificateSelector
を使用して使用する証明書を指定できます。 CA ファイルもキーチェーンアクセスにある場合は、--tlsCAFile
を省略することもできます。mongod --tlsMode requireTLS --tlsCertificateSelector subject="<TestServerCertificateCommonName>"