Docs 主页 → 开发应用程序 → MongoDB Manual
使用 x.509 证书对客户端进行身份验证
以下过程将为独立运行的 mongod
实例上的客户端身份验证设置 x.509 证书身份验证。
要对副本集或分片集群使用 x.509 身份验证,请参阅《使用 x.509 证书进行成员身份验证》。
先决条件
TLS/SSL、PKI(公钥基础设施)证书(尤其是 x.509 证书)和证书颁发机构的完整描述已超出本文档的范围。本教程假设您已了解 TLS/SSL 且能访问有效的 x.509 证书。
证书颁发机构
对于生产用途,MongoDB 部署应使用由证书颁发机构生成和签名的有效证书。您或您的组织可以生成并维护独立的证书颁发机构,或使用第三方 TLS 供应商生成的证书。获取和管理证书超出了本文档的范围。
如果使用 x.509 身份验证,则必须指定 --tlsCAFile
或 net.tls.CAFile
,除非使用 --tlsCertificateSelector
或 --net.tls.certificateSelector
。
客户端 x.509 证书
您必须拥有有效的 x.509 证书。客户 x.509 证书必须符合客户端证书要求。
从 MongoDB 4.0 开始,如果您指定以下任意 x.509 身份验证选项,则无效证书仅足以建立 TLS 连接,但不足以进行身份验证:
--sslAllowInvalidCertificates
或net.ssl.allowInvalidCertificates: true
(MongoDB 4.0 及更高版本)--tlsAllowInvalidCertificates
或net.tls.allowInvalidCertificates: true
(MongoDB 4.2 及更高版本)
步骤
使用 x.509 身份验证进行部署
要为副本集或分片集群设置 x.509 身份验证,请参阅《使用 x.509 证书进行成员身份验证》。
添加 x。以用户身份509证书subject
要使用客户端证书进行身份验证,必须先以 MongoDB 用户身份将客户端证书中的 subject
值添加到 $external
数据库。每个唯一的 x.509 客户端证书对应一个 MongoDB 用户。您不能使用一个客户端证书验证多个 MongoDB 用户。
注意
用户名要求
要对
$external
身份验证用户(Kerberos、LDAP 或 x.509 用户)使用客户端会话和因果一致性保证,用户名不能大于 10k 字节。字符串中的 RDN 必须与
subject
RFC2253 标准。
您可以使用以下命令从客户端证书检索
RFC2253
格式的subject
:openssl x509 -in <pathToClientPEM> -inform PEM -subject -nameopt RFC2253 此命令将返回
subject
字符串和证书:subject= CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry -----BEGIN CERTIFICATE----- # ... -----END CERTIFICATE----- 添加符合
RFC2253
的subject
值作为用户。根据需要省略空格。以下示例添加了一个用户,并为该用户授予
test
数据库中的readWrite
角色以及userAdminAnyDatabase
角色:db.getSiblingDB("$external").runCommand( { createUser: "CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry", roles: [ { role: "readWrite", db: "test" }, { role: "userAdminAnyDatabase", db: "admin" } ], writeConcern: { w: "majority" , wtimeout: 5000 } } ) 请参阅管理用户和角色,详细了解为用户添加角色。
使用 x.509 证书进行身份验证
添加 x. 509客户端证书主题作为相应的 MongoDB 用户,可以使用客户端证书进行身份验证:
后续步骤
要对副本集或分片集群使用 x.509 身份验证,请参阅《使用 x.509 证书进行成员身份验证》。