Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Apéndice
Docs Home
/ /
Seguridad
/
Apéndice
Docs Home
/
Manual de base de datos
/
Implementaciones autogestionadas
/
Seguridad
/
Apéndice

Apéndice C - Certificados de Cliente OpenSSL para Pruebas de Implementaciones Autogestionadas

Advertencia

Descargo de responsabilidad

Esta página se proporciona para únicamente con fines de prueba y los certificados son únicamente para fines de prueba.

El siguiente tutorial proporciona algunos pasos básicos para crear 509 certificados de prueba X..

  • No uses estos certificados para producción. En su lugar, siga sus políticas de seguridad.

  • Para obtener información sobre OpenSSL, consulte la documentación oficial de OpenSSL. Aunque este tutorial utiliza OpenSSL, no debe considerarse una referencia oficial sobre OpenSSL.

Requisito previo

El procedimiento descrito en esta página utiliza el certificado y la clave de autoridad intermedia test mongodb-test-ia.crt y mongodb-test-ia.key creados en Apéndice A - Certificado de CA de OpenSSL para pruebas en implementaciones autogestionadas.

Procedimiento

El siguiente procedimiento describe los pasos para crear certificados de prueba para clientes MongoDB. Para obtener información sobre cómo crear certificados de prueba para servidores MongoDB, consulte el Apéndice B: Certificados de servidor OpenSSL para probar implementaciones autogestionadas.

A. Cree el archivo de configuración de OpenSSL

  1. Crear un archivo de configuración de test openssl-test-client.cnf para su cliente con el siguiente contenido:

    # NOT FOR PRODUCTION USE. OpenSSL configuration file for testing.
    [ req ]
    default_bits = 4096
    default_keyfile = myTestClientCertificateKey.pem    ## The default private key file name.
    default_md = sha256
    distinguished_name = req_dn
    req_extensions = v3_req
    [ v3_req ]
    subjectKeyIdentifier  = hash
    basicConstraints = CA:FALSE
    keyUsage = critical, digitalSignature, keyEncipherment
    nsComment = "OpenSSL Generated Certificate for TESTING only.  NOT FOR PRODUCTION USE."
    extendedKeyUsage  = serverAuth, clientAuth
    [ req_dn ]
    countryName = Country Name (2 letter code)
    countryName_default =
    countryName_min = 2
    countryName_max = 2
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = TestClientCertificateState
    stateOrProvinceName_max = 64
    localityName = Locality Name (eg, city)
    localityName_default = TestClientCertificateLocality
    localityName_max = 64
    organizationName = Organization Name (eg, company)
    organizationName_default = TestClientCertificateOrg
    organizationName_max = 64
    organizationalUnitName = Organizational Unit Name (eg, section)
    organizationalUnitName_default = TestClientCertificateOrgUnit
    organizationalUnitName_max = 64
    commonName = Common Name (eg, YOUR name)
    commonName_max = 64

  2. opcional. Puedes actualizar los valores de nombre distinguido (DN) por defecto. Asegurarse de que los certificados de cliente difieran de los certificados de servidor con respecto a al menos uno de los siguientes atributos: Organización (O), Unidad organizativa (OU) o Componente de dominio (DC).

B. Generar el archivo PEM de prueba para el cliente

  1. Crea el archivo de clave test mongodb-test-client.key.

    openssl genrsa -out mongodb-test-client.key 4096

  2. Cree la prueba solicitud de firma de certificado mongodb-test-client.csr. Cuando se le soliciten valores de Nombre Distinguido, ingrese los valores apropiados para su certificado de prueba:

    Importante

    El sujeto del certificado del cliente debe diferenciarse del sujeto del certificado del servidor en al menos uno de los siguientes atributos: Organización (O), Unidad Organizativa (OU) o Componente de Dominio (DC).

    openssl req -new -key mongodb-test-client.key -out mongodb-test-client.csr -config openssl-test-client.cnf

  3. Cree el test certificado de cliente mongodb-test-client.crt.

    openssl x509 -sha256 -req -days 365 -in mongodb-test-client.csr -CA mongodb-test-ia.crt -CAkey mongodb-test-ia.key -CAcreateserial -out mongodb-test-client.crt -extfile openssl-test-client.cnf -extensions v3_req

  4. Cree el archivo PEM de prueba para el cliente.

    cat mongodb-test-client.crt mongodb-test-client.key > test-client.pem

    Puede usar el archivo PEM de prueba para configurar para mongosh las pruebas TLS/SSL. Por ejemplo, para conectarse a un mongod o mongos un:

    Ejemplo

    Incluya las siguientes opciones para el cliente:

    mongosh --tls --host <serverHost> --tlsCertificateKeyFile test-client.pem  --tlsCAFile test-ca.pem
    En macOS,

    Si estás probando con el Llavero de sistema para gestionar certificados, crea un archivo PKCS 12 para añadir al Llavero de sistema en lugar de un archivo PEM:

    openssl pkcs12 -export -out test-client.pfx -inkey mongodb-test-client.key -in mongodb-test-client.crt -certfile mongodb-test-ia.crt

    Una vez agregado a Acceso a llaveros, en lugar de especificar el archivo de clave del certificado, puede usar el --tlsCertificateSelector para especificar el certificado que se va a usar. Si el archivo CA también se encuentra en Acceso a Llaveros, puede omitir --tlsCAFile, como en el siguiente ejemplo:

    mongosh --tls --tlsCertificateSelector subject="<TestClientCertificateCommonName>"

    Para añadir certificados al Acceso a Llaveros, consulta la documentación oficial sobre Acceso a Llaveros.

Tip

Volver

OpenSSL Server

Next

Búsqueda de texto