附录 A - 用于测试自管理部署的 OpenSSL CA 证书
警告
免责声明
此页面仅供测试之用,证书也仅供测试之用。
以下教程提供了创建测试 x.509 证书的一些指南:
请勿将这些证书用于生产。 相反,请遵循您的安全策略。
有关 OpenSSL 的信息,请参阅 OpenSSL 官方Docs。尽管本教程使用 OpenSSL,但该材料不应被视为 OpenSSL 的权威参考资料。
步骤
以下过程概述了创建测试 CA PEM 文件的步骤。该过程创建 CA PEM 文件以及中间颁发机构证书和密钥文件来签署服务器/客户端测试证书。
A. 创建 OpenSSL 配置文件
创建包含以下内容的配置文件
openssl-test-ca.cnf
:# NOT FOR PRODUCTION USE. OpenSSL configuration file for testing. # For the CA policy [ policy_match ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional [ req ] default_bits = 4096 default_keyfile = myTestCertificateKey.pem ## The default private key file name. default_md = sha256 ## Use SHA-256 for Signatures distinguished_name = req_dn req_extensions = v3_req x509_extensions = v3_ca # The extentions to add to the self signed cert [ v3_req ] subjectKeyIdentifier = hash basicConstraints = CA:FALSE keyUsage = critical, digitalSignature, keyEncipherment nsComment = "OpenSSL Generated Certificate for TESTING only. NOT FOR PRODUCTION USE." extendedKeyUsage = serverAuth, clientAuth [ req_dn ] countryName = Country Name (2 letter code) countryName_default = countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = TestCertificateStateName stateOrProvinceName_max = 64 localityName = Locality Name (eg, city) localityName_default = TestCertificateLocalityName localityName_max = 64 organizationName = Organization Name (eg, company) organizationName_default = TestCertificateOrgName organizationName_max = 64 organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = TestCertificateOrgUnitName organizationalUnitName_max = 64 commonName = Common Name (eg, YOUR name) commonName_max = 64 [ v3_ca ] # Extensions for a typical CA subjectKeyIdentifier=hash basicConstraints = critical,CA:true authorityKeyIdentifier=keyid:always,issuer:always 可选。您可以更新默认标识名 (DN) 值。
B. 生成测试 CA PEM 文件
创建测试 CA 密钥文件
mongodb-test-ca.key
。openssl genrsa -out mongodb-test-ca.key 4096 提示
此私钥用于为 CA 生成有效证书。尽管该私钥与本附录中的所有文件一样,仅供测试之用,但仍应采取良好的安全措施,确保该密钥文件的安全。
使用生成的密钥文件创建 CA 证书
mongod-test-ca.crt
。当询问标识名值时,请输入适合您的测试CA 证书的值。openssl req -new -x509 -days 1826 -key mongodb-test-ca.key -out mongodb-test-ca.crt -config openssl-test-ca.cnf 为中间证书创建私钥。
openssl genrsa -out mongodb-test-ia.key 4096 提示
此私钥用于为中间颁发机构生成有效的证书。尽管该私人密钥与本附录中的所有文件一样,仅供测试之用,但仍应采取良好的安全措施,确保该密钥文件的安全。
为中间证书创建证书签名请求。当要求输入标识名值时,请输入适合您的测试中间颁发机构证书的值。
openssl req -new -key mongodb-test-ia.key -out mongodb-test-ia.csr -config openssl-test-ca.cnf 创建中间证书
mongodb-test-ia.crt
。openssl x509 -sha256 -req -days 730 -in mongodb-test-ia.csr -CA mongodb-test-ca.crt -CAkey mongodb-test-ca.key -set_serial 01 -out mongodb-test-ia.crt -extfile openssl-test-ca.cnf -extensions v3_ca 从测试 CA 证书
mongod-test-ca.crt
和测试中间证书mongodb-test-ia.crt
创建测试 CA PEM 文件。cat mongodb-test-ia.crt mongodb-test-ca.crt > test-ca.pem
在配置mongod
、mongos
或 进行 TLS/SSL 测试mongosh
时,您可以使用 测试 PEM文件。
您可以使用测试中间机构为服务器和客户端签署测试证书。必须由一个机构同时向客户端和服务器颁发证书。