MongoDB SSL 副本设置问题 - 证书不受支持

尝试在 Ubuntu 18.04、mongo 版本 4.0.18 上设置 3 节点 mongodb 服务器副本

gl1 192.168.1.30
gl2 192.168.1.31
gl3 192.168.1.33

使用同一网络上的内部 CA 来创建证书，我创建了 2 个证书，其中一个用于服务器 mongo 安装在（GL1、GL2、GL3）上PEM密钥文件和一个用于簇文件（蒙戈1、蒙戈2、蒙戈3）。每个CAFile设置列出各自的RSA 密钥、PEMKeyFile 和 RootCA对于每个服务器。我使用单独的证书（PEMKey 和 clusterFILE）可以正常运行 mongo 服务（根据 systemctl）。

net:
  port: 27017
  bindIp: 0.0.0.0
net:
 ssl:
  mode: requireSSL
  PEMKeyFile: /opt/ssl/MongoDB.pem
  CAFile: /opt/ssl/ca.pem
  clusterFile: /opt/ssl/mongo.pem
  allowConnectionsWithoutCertificates: true

#replication
replication:
  replSetName: rs0

当我尝试 rs.add("192.168.1.31:27017") 时出现以下错误

 "errmsg" : "Quorum check failed because not enough voting nodes responded; required 2 but only the following 1 voting nodes responded: 192.168.1.30:27017; the following nodes did not respond affirmatively: gl2.domain.com:27017 failed with stream truncated",
        "code" : 74,
        "codeName" : "NodeNotFound",

在节点 192.168.1.31 上的 mongod.log 中记录以下内容：

2020-05-22T18:20:48.161+0000 E NETWORK  [conn4] SSL peer certificate validation failed: unsupported certificate purpose
2020-05-22T18:20:48.161+0000 I NETWORK  [conn4] Error receiving request from client: SSLHandshakeFailed: SSL peer certificate validation failed: unsupported certificate purpose. Ending connection from 192.168.1.30:55002 (connection id: 4)

我读过一篇旧的 Google 群组帖子：https://groups.google.com/forum/#!msg/mongodb-user/EmESxx5KK9Q/xH6Ul7fTBQAJclusterFile 和 PEMKeyFile 必须不同。然而，我这样做了，它仍然抛出错误。我对此进行了大量搜索，并且看到很多支持它是如何完成的，但这是我发现的唯一具有类似错误消息的地方，并且它应该起作用似乎是合乎逻辑的。但是，我不确定如何验证我的簇文件实际正在被使用。它确实是一个单独的证书，每个节点都有一个 FQDN。所有三个节点都更新了主机文件以查找彼此（gl1、mongo1 等）。我可以对它们之间的所有节点执行 ping 操作，因此网络已建立。我还验证了防火墙（ufw 和 iptables）此时没有阻止 27017 或任何其他内容。之前我尝试过自签名 CA 和证书，但由于这些是自签名证书而不断遇到错误，因此这就是我采用内部 CA 路线的原因。

“目的”也称为“扩展密钥用途”。

Openssl x509v3 扩展密钥用法给出了一些用于设置目的的示例代码。

正如乔指出的那样，文档规定证书要么根本没有扩展密钥用途，要么 PEMKeyFile 中的证书必须具有服务器身份验证，而集群文件中的证书必须具有客户端身份验证。