步骤1:获取MongoDB 3.0
您需要了解的第一件事是,仅 MongoDB 3.0 及更高版本才支持开箱即用的 SSL。 Ubuntu 在默认存储库中没有 3.0,因此获取它的方法如下:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 7F0CEB10
echo "deb http://repo.mongodb.org/apt/ubuntu trusty/mongodb-org/3.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.0.list
sudo apt-get update
sudo apt-get install -y mongodb-org=3.0.7 mongodb-org-server=3.0.7 mongodb-org-shell=3.0.7 mongodb-org-mongos=3.0.7 mongodb-org-tools=3.0.7
3.0.7 是目前最新的稳定版本,但请随意用您最喜欢的版本替换 3.0.7。
步骤2:获取私钥、证书和PEM文件
PEM 包含公钥证书及其关联的私钥。这些文件可以使用 IRL 美元从证书颁发机构获取,也可以使用 OpenSSL 生成,如下所示:
openssl req -newkey rsa:2048 -new -x509 -days 3650 -nodes -out mongodb-cert.crt -keyout mongodb-cert.key
cat mongodb-cert.key mongodb-cert.crt > mongodb.pem
mongodb.pem 将用作 PEM 文件,mongodb-cert.key 是私钥文件,mongodb-cert.crt 是证书文件,也可以用作 CA 文件。您将需要这三个。
步骤3:配置MongoD
我们假设您已将这些文件复制到它们所属的 /etc/ssl/ 文件夹中。现在我们打开 MongoDB 配置文件:
sudo vi /etc/mongod.conf
并修改“#网络接口”部分,如下所示:
# network interfaces
net:
port: 27017
#bindIp: 127.0.0.1
ssl:
mode: allowSSL
PEMKeyFile: /etc/ssl/mongodb.pem
#CAFile: /etc/ssl/mongodb-cert.crt
请注意:我们正在注释掉bindIp。这允许外部连接访问您的 Mongo 数据库。我们假设这是您的最终目标(为什么要加密本地主机上的流量?),但您应该只在为 MongoDB 服务器设置授权规则后执行此操作。
CAFile 也被注释掉,因为它是可选的。我将在本文末尾解释如何设置证书颁发机构信任。
与往常一样,您必须重新启动 MongoDB,配置文件更改才会生效:
sudo service mongod restart
您的服务器无法启动吗?您独自一人,但您的证书文件可能存在问题。您可以通过手动运行 mongod 检查启动错误:
sudo mongod --config /etc/mongod.conf
第 4 步:测试您的服务器设置
在我们搞乱 Node 配置之前,让我们通过连接 mongo 命令行客户端来确保您的服务器设置正常工作:
mongo --ssl --sslAllowInvalidHostnames --sslAllowInvalidCertificates
除非证书上的域名是 127.0.0.1 或 localhost,否则 --sslAllowInvalidHostnames 标志是必需的。如果没有它,您可能会收到此错误:
E NETWORK The server certificate does not match the host name 127.0.0.1
E QUERY Error: socket exception [CONNECT_ERROR] for
at connect (src/mongo/shell/mongo.js:179:14)
at (connect):1:6 at src/mongo/shell/mongo.js:179
exception: connect failed
步骤5)配置Node.JS / Mongoose
如果您在 Node 应用程序中使用 node-mongodb-native 包,请立即停止并开始使用 Mongoose。这并不难。也就是说,mongoose.connect() 与 mongodb.connect() 具有几乎相同的 API,因此请适当替换。
var fs = require('fs')
, mongoose = require('mongoose')
, mongoUri = "mongodb://127.0.0.1:27017?ssl=true"
, mongoOpt = {
"server": {
"sslValidate": false,
"sslKey": fs.readFileSync('/etc/ssl/mongodb.pem'),
"sslCert": fs.readFileSync('/etc/ssl/mongodb-cert.crt')
}
}
;
mongoose.connect(mongoUri, mongoOpt);
步骤 6) [可选] 通过证书颁发机构验证您的证书
为了验证您的 SSL 证书,您需要从证书颁发机构获取 CA(或捆绑包)文件。这看起来很像您的证书文件,但通常包含多个证书(形成信任链来验证证书是否有效)。如果您使用自签名证书,则可以使用 mongodb-cert.crt 作为 CA 文件。
您还需要确保 MongoDB 服务器的主机名与用于创建证书的主机名相匹配。
步骤 6.3) 更新您的 mongod 配置
sudo vi /etc/mongod.conf
并修改“#网络接口”部分,如下所示:
# network interfaces net: port: 27017 #bindIp: 127.0.0.1 ssl:
mode: allowSSL
PEMKeyFile: /etc/ssl/mongodb.pem
CAFile: /etc/ssl/mongodb-ca.crt
sudo service mongod restart
步骤 6.4) 测试您的服务器设置
mongo --ssl --sslAllowInvalidHostnames --sslCAFile /etc/ssl/mongodb-ca.crt --sslPEMKeyFile /etc/ssl/mongodb.pem
Mongo 客户端也可以传入 CA 文件来验证它们是否正在与正确的服务器通信。这是通过 --sslCAFile 参数完成的
配置了 CAFile 的 Mongo 服务器要求客户端拥有服务器的有效证书和私钥。在 mongo shell 客户端中,这是通过传入 --sslPEMKeyFile 参数来完成的。
如果没有 PEM 文件(包含服务器的证书),您可能会看到以下错误:
I NETWORK DBClientCursor::init call() failed
E QUERY Error: DBClientBase::findN: transport error: 127.0.0.1:27017 ns: admin.$cmd query: { whatsmyuri: 1 }
at connect (src/mongo/shell/mongo.js:179:14)
at (connect):1:6 at src/mongo/shell/mongo.js:179
exception: connect failed
通过启用 net.ssl.weakCertificateValidation,可以将服务器配置为接受来自没有 PEM 文件的客户端的请求,但您会削弱安全性而不会获得任何实际好处。
步骤 6.5)配置 Node.JS / Mongoose
这里有一些问题,所以请耐心等待。
首先,您需要有 node-mongodb-native 2.0 或更高版本。如果您使用 Mongoose,那么您需要 Mongoose 4.0 或更高版本。以前的 Mongoose 版本使用 node-mongodb-native 1.*,它不支持任何能力的证书验证。
其次,node-mongodb-native 中没有 sslAllowInvalidHostnames 或类似选项。这不是 Node-mongodb-native 开发人员可以修复的问题(我现在已经解决了),因为 Node 0.10.* 中可用的本机 TLS 库没有提供此选项。在 Node 4.* 和 5.* 中,有一个 checkServerIdentity 选项带来了希望,但从原始 Node 分支切换到 io.js 合并后的分支目前可能会引起一些头痛。
那么让我们试试这个:
var fs = require('fs')
, mongoose = require('mongoose')
, mongoUri = "mongodb://127.0.0.1:27017?ssl=true"
, mongoOpt = {
"server": {
"sslKey": fs.readFileSync('/etc/ssl/mongodb.pem'),
"sslCert": fs.readFileSync('/etc/ssl/mongodb-cert.crt'),
"sslCa": fs.readFileSync('/etc/ssl/mongodb-ca.crt')
}
}
;
如果您收到主机名/IP 不匹配错误,请修复您的证书,或通过禁用 sslValidate 来取消所有这些艰苦工作:
var fs = require('fs')
, mongoose = require('mongoose')
, mongoUri = "mongodb://127.0.0.1:27017?ssl=true"
, mongoOpt = {
"server": {
"sslValidate": false,
"sslKey": fs.readFileSync('/etc/ssl/mongodb.pem'),
"sslCert": fs.readFileSync('/etc/ssl/mongodb-cert.crt'),
"sslCa": fs.readFileSync('/etc/ssl/mongodb-ca.crt')
}
}
;
Source:
http://www.bainweb.com/2015/11/connecting-to-mongodb-over-tlsssl-with.html http://www.bainweb.com/2015/11/connecting-to-mongodb-over-tlsssl-with.html