文档菜单
文档首页
/
MongoDB 手册
/
自托管部署
/
安全
/
附录

附录A - OpenSSL CA 测试自托管部署的证书

警告

免责声明

本页面仅供测试目的使用,证书也仅用于 测试目的

以下教程提供了一些创建 测试 x.509 证书的指南

  • 请勿在生产环境中使用这些证书。相反,请遵循您的安全策略。

  • 有关 OpenSSL 的信息,请参阅官方 OpenSSL 文档。虽然本教程使用了 OpenSSL,但不应将其视为 OpenSSL 的权威参考。

程序

以下程序概述了创建测试CA PEM文件的步骤。此程序创建了CA PEM文件和中间授权证书及密钥文件,以签署服务器/客户端测试证书。

A. 创建OpenSSL配置文件

  1. 创建配置文件openssl-test-ca.cnf,内容如下

    # NOT FOR PRODUCTION USE. OpenSSL configuration file for testing.
    # For the CA policy
    [ policy_match ]
    countryName = match
    stateOrProvinceName = match
    organizationName = match
    organizationalUnitName = optional
    commonName = supplied
    emailAddress = optional
    [ req ]
    default_bits = 4096
    default_keyfile = myTestCertificateKey.pem    ## The default private key file name.
    default_md = sha256                           ## Use SHA-256 for Signatures
    distinguished_name = req_dn
    req_extensions = v3_req
    x509_extensions = v3_ca # The extensions to add to the self signed cert
    [ v3_req ]
    subjectKeyIdentifier  = hash
    basicConstraints = CA:FALSE
    keyUsage = critical, digitalSignature, keyEncipherment
    nsComment = "OpenSSL Generated Certificate for TESTING only.  NOT FOR PRODUCTION USE."
    extendedKeyUsage  = serverAuth, clientAuth
    [ req_dn ]
    countryName = Country Name (2 letter code)
    countryName_default =
    countryName_min = 2
    countryName_max = 2
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = TestCertificateStateName
    stateOrProvinceName_max = 64
    localityName = Locality Name (eg, city)
    localityName_default = TestCertificateLocalityName
    localityName_max = 64
    organizationName = Organization Name (eg, company)
    organizationName_default = TestCertificateOrgName
    organizationName_max = 64
    organizationalUnitName = Organizational Unit Name (eg, section)
    organizationalUnitName_default = TestCertificateOrgUnitName
    organizationalUnitName_max = 64
    commonName = Common Name (eg, YOUR name)
    commonName_max = 64
    [ v3_ca ]
    # Extensions for a typical CA
    subjectKeyIdentifier=hash
    basicConstraints = critical,CA:true
    authorityKeyIdentifier=keyid:always,issuer:always

  2. 可选。您可以更新默认的区分名称(DN)值。

B. 生成测试CA PEM文件

  1. 创建测试CA密钥文件 mongodb-test-ca.key

    openssl genrsa -out mongodb-test-ca.key 4096

    提示

    此私钥用于生成CA的有效证书。尽管此私钥,如本附录中的所有文件一样,仅用于测试目的,但您应采取良好的安全实践并保护此密钥文件。

  2. 使用生成的密钥文件创建CA证书 mongod-test-ca.crt。当提示输入区分名称值时,输入您的测试CA证书的相应值。

    openssl req -new -x509 -days 1826 -key mongodb-test-ca.key -out mongodb-test-ca.crt -config openssl-test-ca.cnf

  3. 创建中间证书的私钥。

    openssl genrsa -out mongodb-test-ia.key 4096

    提示

    此私钥用于生成中级授权的有效证书。尽管此私钥,如同本附录中的所有文件,仅用于 测试 目的,您仍应采取良好的安全措施并确保此密钥文件的安全性。

  4. 为中级证书创建证书签名请求。当询问区分名称值时,请输入您的 测试 中级授权证书的适当值。

    openssl req -new -key mongodb-test-ia.key -out mongodb-test-ia.csr -config openssl-test-ca.cnf

  5. 创建中级证书 mongodb-test-ia.crt

    openssl x509 -sha256 -req -days 730 -in mongodb-test-ia.csr -CA mongodb-test-ca.crt -CAkey mongodb-test-ca.key -set_serial 01 -out mongodb-test-ia.crt -extfile openssl-test-ca.cnf -extensions v3_ca

  6. 测试 CA 证书 mongod-test-ca.crt测试 中级证书 mongodb-test-ia.crt 创建 测试 CA PEM 文件。

    cat mongodb-test-ia.crt mongodb-test-ca.crt > test-ca.pem

您可以在配置时使用 测试 PEM 文件。mongodmongosmongosh 进行 TLS/SSL 测试

您可以使用 测试 中级授权来为服务器和客户端的 测试 证书签名。必须由单个授权机构为客户端和服务器颁发证书。

提示

另请参阅

上一页

附录

下一页

OpenSSL 服务器