附录 B — 用于测试自管理部署的 OpenSSL 服务器证书
警告
免责声明
此页面仅供测试之用,证书也仅供测试之用。
以下教程提供了创建测试x.509 证书的一些基本步骤:
请勿将这些证书用于生产。 相反,请遵循您的安全策略。
有关 OpenSSL 的信息,请参阅 OpenSSL 官方Docs。尽管本教程使用 OpenSSL,但该材料不应被视为 OpenSSL 的权威参考资料。
先决条件
本页概述的过程使用在 附录 A - 用于测试自托管部署的 OpenSSL CA 证书 中 创建的 测试 中间颁发机构证书和密钥mongodb-test-ia.crt
和mongodb-test-ia.key
。
步骤
以下过程概述了为MongoDB服务器创建测试证书的步骤。 有关为MongoDB客户端创建测试证书的步骤,请参阅附录C - 用于测试自托管部署的 OpenSSL 客户端证书。
A. 创建 OpenSSL 配置文件
使用以下内容为服务器创建测试配置文件
openssl-test-server.cnf
:# NOT FOR PRODUCTION USE. OpenSSL configuration file for testing. [ req ] default_bits = 4096 default_keyfile = myTestServerCertificateKey.pem ## The default private key file name. default_md = sha256 distinguished_name = req_dn req_extensions = v3_req [ v3_req ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = critical, digitalSignature, keyEncipherment nsComment = "OpenSSL Generated Certificate for TESTING only. NOT FOR PRODUCTION USE." extendedKeyUsage = serverAuth, clientAuth subjectAltName = @alt_names [ alt_names ] DNS.1 = ##TODO: Enter the DNS names. The DNS names should match the server names. DNS.2 = ##TODO: Enter the DNS names. The DNS names should match the server names. IP.1 = ##TODO: Enter the IP address. IP.2 = ##TODO: Enter the IP address. [ req_dn ] countryName = Country Name (2 letter code) countryName_default = TestServerCertificateCountry countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = TestServerCertificateState stateOrProvinceName_max = 64 localityName = Locality Name (eg, city) localityName_default = TestServerCertificateLocality localityName_max = 64 organizationName = Organization Name (eg, company) organizationName_default = TestServerCertificateOrg organizationName_max = 64 organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = TestServerCertificateOrgUnit organizationalUnitName_max = 64 commonName = Common Name (eg, YOUR name) commonName_max = 64 在
[alt_names]
部分中,输入MongoDB 服务器的相应 DNS 名称和/或IP地址。您可以为MongoDB 服务器指定多个 DNS 名称。对于 OpenSSL SAN 标识符,MongoDB 支持:
DNS 名称和/或
IP 地址字段
可选。您可以更新默认标识名 (DN) 值。
提示
至少为以下属性之一指定非空值:组织 (
O
)、组织单位 (OU
) 或域组件 (DC
)。为内部成员身份验证创建测试服务器证书时,以下属性(如果指定)必须在成员证书中完全匹配:组织 (
O
)、组织单位 (OU
)、域组件 (DC
)。有关内部成员身份验证要求的更多信息,请参阅成员身份验证。
B. 为服务器生成测试 PEM 文件
重要
在继续之前,请确保您已在配置文件openssl-test-server.cnf
的[alt_names]
部分中输入适当的 DNS 名称。
创建测试密钥文件
mongodb-test-server1.key
。openssl genrsa -out mongodb-test-server1.key 4096 创建测试证书签名请求
mongodb-test-server1.csr
。当询问标识名值时,请输入适合您的测试证书的值:
至少为以下属性之一指定非空值:组织 (
O
)、组织单位 (OU
) 或域组件 (DC
)。为内部成员身份验证创建测试服务器证书时,以下属性(如果指定)必须在成员证书中完全匹配:组织 (
O
)、组织单位 (OU
)、域组件 (DC
)。
openssl req -new -key mongodb-test-server1.key -out mongodb-test-server1.csr -config openssl-test-server.cnf 创建测试服务器证书
mongodb-test-server1.crt
。openssl x509 -sha256 -req -days 365 -in mongodb-test-server1.csr -CA mongodb-test-ia.crt -CAkey mongodb-test-ia.key -CAcreateserial -out mongodb-test-server1.crt -extfile openssl-test-server.cnf -extensions v3_req 为服务器创建测试PEM 文件。
cat mongodb-test-server1.crt mongodb-test-server1.key > test-server1.pem 在为 TLS/SSL
mongod
mongos
测试 配置 或 时,可以使用 测试 PEM 文件。例如:例子
mongod --tlsMode requireTLS --tlsCertificateKeyFile test-server1.pem --tlsCAFile test-ca.pem - 在 macOS 上,
如果使用“钥匙串访问”来托管证书进行测试,请创建要添加到“钥匙串访问”的 pkcs-12 文件,而不是 PEM 文件:
openssl pkcs12 -export -out test-server1.pfx -inkey mongodb-test-server1.key -in mongodb-test-server1.crt -certfile mongodb-test-ia.crt 添加到“钥匙串访问”后,您可以使用
--tlsCertificateSelector
指定要使用的证书,而不是指定证书密钥文件。 如果 CA 文件也在“钥匙串访问”中,则也可以省略--tlsCAFile
。mongod --tlsMode requireTLS --tlsCertificateSelector subject="<TestServerCertificateCommonName>"