MongoDb 和 Nodejs SSL/安全连接

我如何通过ssl连接mongoDB和nodejs，
我正在使用此代码来创建连接，但它不起作用

var Db = require('mongodb').Db;
var Server = require('mongodb').Server;
Db.connect('mongodb://xxx.xxx.xxx.xxx:27017/db-login', { auto_reconnect: true, poolSize:4, ssl:true }, function (err, db) {

我还尝试了另一个代码

 var localIP='xxx.xxx.xxx.xxx:27017', ssl=true;

任何帮助和建议

步骤1：获取MongoDB 3.0

您需要了解的第一件事是，仅 MongoDB 3.0 及更高版本才支持开箱即用的 SSL。 Ubuntu 在默认存储库中没有 3.0，因此获取它的方法如下：

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 7F0CEB10
echo "deb http://repo.mongodb.org/apt/ubuntu trusty/mongodb-org/3.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.0.list
sudo apt-get update
sudo apt-get install -y mongodb-org=3.0.7 mongodb-org-server=3.0.7 mongodb-org-shell=3.0.7 mongodb-org-mongos=3.0.7 mongodb-org-tools=3.0.7

3.0.7 是目前最新的稳定版本，但请随意用您最喜欢的版本替换 3.0.7。

步骤2：获取私钥、证书和PEM文件

PEM 包含公钥证书及其关联的私钥。这些文件可以使用 IRL 美元从证书颁发机构获取，也可以使用 OpenSSL 生成，如下所示：

openssl req -newkey rsa:2048 -new -x509 -days 3650 -nodes -out mongodb-cert.crt -keyout mongodb-cert.key
cat mongodb-cert.key mongodb-cert.crt > mongodb.pem

mongodb.pem 将用作 PEM 文件，mongodb-cert.key 是私钥文件，mongodb-cert.crt 是证书文件，也可以用作 CA 文件。您将需要这三个。

步骤3：配置MongoD

我们假设您已将这些文件复制到它们所属的 /etc/ssl/ 文件夹中。现在我们打开 MongoDB 配置文件：

sudo vi /etc/mongod.conf

并修改“#网络接口”部分，如下所示：

# network interfaces
net:
  port: 27017
  #bindIp: 127.0.0.1
  ssl:
    mode: allowSSL
    PEMKeyFile: /etc/ssl/mongodb.pem
    #CAFile: /etc/ssl/mongodb-cert.crt

请注意：我们正在注释掉bindIp。这允许外部连接访问您的 Mongo 数据库。我们假设这是您的最终目标（为什么要加密本地主机上的流量？），但您应该只在为 MongoDB 服务器设置授权规则后执行此操作。

CAFile 也被注释掉，因为它是可选的。我将在本文末尾解释如何设置证书颁发机构信任。

与往常一样，您必须重新启动 MongoDB，配置文件更改才会生效：

sudo service mongod restart

您的服务器无法启动吗？您独自一人，但您的证书文件可能存在问题。您可以通过手动运行 mongod 检查启动错误：

sudo mongod --config /etc/mongod.conf

第 4 步：测试您的服务器设置

在我们搞乱 Node 配置之前，让我们通过连接 mongo 命令行客户端来确保您的服务器设置正常工作：

mongo --ssl --sslAllowInvalidHostnames --sslAllowInvalidCertificates

除非证书上的域名是 127.0.0.1 或 localhost，否则 --sslAllowInvalidHostnames 标志是必需的。如果没有它，您可能会收到此错误：

E NETWORK  The server certificate does not match the host name 127.0.0.1
E QUERY    Error: socket exception [CONNECT_ERROR] for 
    at connect (src/mongo/shell/mongo.js:179:14)
    at (connect):1:6 at src/mongo/shell/mongo.js:179
exception: connect failed

步骤5）配置Node.JS / Mongoose

如果您在 Node 应用程序中使用 node-mongodb-native 包，请立即停止并开始使用 Mongoose。这并不难。也就是说，mongoose.connect() 与 mongodb.connect() 具有几乎相同的 API，因此请适当替换。

    var fs = require('fs')
      , mongoose = require('mongoose')
      , mongoUri = "mongodb://127.0.0.1:27017?ssl=true"
      , mongoOpt = {
          "server": { 
            "sslValidate": false,
            "sslKey": fs.readFileSync('/etc/ssl/mongodb.pem'),
            "sslCert": fs.readFileSync('/etc/ssl/mongodb-cert.crt')
          }
        }
      ;

mongoose.connect(mongoUri, mongoOpt);

步骤 6) [可选] 通过证书颁发机构验证您的证书

为了验证您的 SSL 证书，您需要从证书颁发机构获取 CA（或捆绑包）文件。这看起来很像您的证书文件，但通常包含多个证书（形成信任链来验证证书是否有效）。如果您使用自签名证书，则可以使用 mongodb-cert.crt 作为 CA 文件。

您还需要确保 MongoDB 服务器的主机名与用于创建证书的主机名相匹配。

步骤 6.3) 更新您的 mongod 配置

sudo vi /etc/mongod.conf

并修改“#网络接口”部分，如下所示：

# network interfaces net:   port: 27017   #bindIp: 127.0.0.1   ssl:
    mode: allowSSL
    PEMKeyFile: /etc/ssl/mongodb.pem
    CAFile: /etc/ssl/mongodb-ca.crt

sudo service mongod restart

步骤 6.4) 测试您的服务器设置

mongo --ssl --sslAllowInvalidHostnames --sslCAFile /etc/ssl/mongodb-ca.crt --sslPEMKeyFile /etc/ssl/mongodb.pem

Mongo 客户端也可以传入 CA 文件来验证它们是否正在与正确的服务器通信。这是通过 --sslCAFile 参数完成的

配置了 CAFile 的 Mongo 服务器要求客户端拥有服务器的有效证书和私钥。在 mongo shell 客户端中，这是通过传入 --sslPEMKeyFile 参数来完成的。

如果没有 PEM 文件（包含服务器的证书），您可能会看到以下错误：

I NETWORK  DBClientCursor::init call() failed
E QUERY    Error: DBClientBase::findN: transport error: 127.0.0.1:27017 ns: admin.$cmd query: { whatsmyuri: 1 }
    at connect (src/mongo/shell/mongo.js:179:14)
    at (connect):1:6 at src/mongo/shell/mongo.js:179
exception: connect failed

通过启用 net.ssl.weakCertificateValidation，可以将服务器配置为接受来自没有 PEM 文件的客户端的请求，但您会削弱安全性而不会获得任何实际好处。

步骤 6.5）配置 Node.JS / Mongoose

这里有一些问题，所以请耐心等待。

首先，您需要有 node-mongodb-native 2.0 或更高版本。如果您使用 Mongoose，那么您需要 Mongoose 4.0 或更高版本。以前的 Mongoose 版本使用 node-mongodb-native 1.*，它不支持任何能力的证书验证。

其次，node-mongodb-native 中没有 sslAllowInvalidHostnames 或类似选项。这不是 Node-mongodb-native 开发人员可以修复的问题（我现在已经解决了），因为 Node 0.10.* 中可用的本机 TLS 库没有提供此选项。在 Node 4.* 和 5.* 中，有一个 checkServerIdentity 选项带来了希望，但从原始 Node 分支切换到 io.js 合并后的分支目前可能会引起一些头痛。

那么让我们试试这个：

var fs = require('fs')
  , mongoose = require('mongoose')
  , mongoUri = "mongodb://127.0.0.1:27017?ssl=true"
  , mongoOpt = {
      "server": { 
        "sslKey": fs.readFileSync('/etc/ssl/mongodb.pem'),
        "sslCert": fs.readFileSync('/etc/ssl/mongodb-cert.crt'),
        "sslCa": fs.readFileSync('/etc/ssl/mongodb-ca.crt')
      }
    }
  ;

如果您收到主机名/IP 不匹配错误，请修复您的证书，或通过禁用 sslValidate 来取消所有这些艰苦工作：

var fs = require('fs')
  , mongoose = require('mongoose')
  , mongoUri = "mongodb://127.0.0.1:27017?ssl=true"
  , mongoOpt = {
      "server": {
        "sslValidate": false,
        "sslKey": fs.readFileSync('/etc/ssl/mongodb.pem'),
        "sslCert": fs.readFileSync('/etc/ssl/mongodb-cert.crt'),
        "sslCa": fs.readFileSync('/etc/ssl/mongodb-ca.crt')
      }
    }
  ;

Source: http://www.bainweb.com/2015/11/connecting-to-mongodb-over-tlsssl-with.html http://www.bainweb.com/2015/11/connecting-to-mongodb-over-tlsssl-with.html