附录-B-用于测试的OpenSSL服务器证书

免责声明

此页面仅用于测试目的；证书仅用于测试目的。

以下教程提供了创建测试x.509证书的一些基本步骤：

请勿将这些证书用于生产环境。相反，请遵循您的安全策略。
有关OpenSSL的信息，请参考官方的OpenSSL文档。尽管本教程使用的是OpenSSL，但不应将本材料当作OpenSSL的权威参考。

前提条件

本页所描述的过程会使用测试的中间权限证书以及在中创建的秘钥 mongodb-test-ia.crt 和 mongodb-test-ia.key 。

过程

以下过程概述了为MongoDB服务器创建测试证书的步骤。有关为MongoDB客户端创建测试证书的步骤，请参阅。

A. 创建OpenSSL配置文件

使用以下内容为您的服务器创建一个测试配置文件openssl-test-server.cnf：

# NOT FOR PRODUCTION USE. OpenSSL configuration file for testing.
[ req ]
default_bits = 4096
default_keyfile = myTestServerCertificateKey.pem    ## The default private key file name.
default_md = sha256
distinguished_name = req_dn
req_extensions = v3_req

[ v3_req ]
subjectKeyIdentifier  = hash
basicConstraints = CA:FALSE
keyUsage = critical, digitalSignature, keyEncipherment
nsComment = "OpenSSL Generated Certificate for TESTING only.  NOT FOR PRODUCTION USE."
extendedKeyUsage  = serverAuth, clientAuth
subjectAltName = @alt_names

[ alt_names ]
DNS.1 =         ##TODO: Enter the DNS names. The DNS names should match the server names.
DNS.2 =         ##TODO: Enter the DNS names. The DNS names should match the server names.
IP.1 =          ##TODO: Enter the IP address. SAN matching by IP address is available starting in MongoDB 4.2
IP.2 =          ##TODO: Enter the IP address. SAN matching by IP address is available starting in MongoDB 4.2

[ req_dn ]
countryName = Country Name (2 letter code)
countryName_default = TestServerCertificateCountry
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = TestServerCertificateState
stateOrProvinceName_max = 64

localityName = Locality Name (eg, city)
localityName_default = TestServerCertificateLocality
localityName_max = 64

organizationName = Organization Name (eg, company)
organizationName_default = TestServerCertificateOrg
organizationName_max = 64

organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = TestServerCertificateOrgUnit
organizationalUnitName_max = 64

commonName = Common Name (eg, YOUR name)
commonName_max = 64

在该[alt_names]部分中，输入适合MongoDB服务器的DNS名称和/或IP地址。您可以为MongoDB服务器指定多个DNS名称。
对于OpenSSL SAN标识符，MongoDB支持：
- DNS名称和/或
- IP地址字段（从MongoDB 4.2开始)
可选。你可以更新默认的专有名称(DN)值

提示

至少为下列一个属性指定一个非空值：组织 (O)、组织单元 (OU)或者域组件 (DC)
为内部成员身份验证创建测试服务器证书，如果指定了下面的属性，则在成员证书之间必须完全匹配：组织 (O)、组织单元 (OU)、域组件 (DC)。

重要

在继续之前，请确保在配置文件openssl-test-server.cnf中的[alt_names]部分输入了适当的DNS名称。 1. 创建测试密钥文件mongodb-test-server1.key。

   openssl genrsa -out mongodb-test-server1.key 4096

创建测试的证书签名请求mongodb-test-server1.csr。
当要求提供专有名称值时，为您的测试证书输入适当的值：
- 为以下属性中的至少一个指定一个非空值：组织(O)、组织单位(OU)或域组件(DC)。
- 为内部成员身份验证创建测试服务器证书时，如果指定了以下属性，则这些属性必须在成员证书之间完全匹配：组织(O)、组织单位(OU)、域组件(DC)。
复制
```
openssl req -new -key mongodb-test-server1.key -out mongodb-test-server1.csr -config openssl-test-server.cnf
```

创建测试服务器证书mongodb-test-server1.crt。

openssl x509 -sha256 -req -days 365 -in mongodb-test-server1.csr -CA mongodb-test-ia.crt -CAkey mongodb-test-ia.key -CAcreateserial -out mongodb-test-server1.crt -extfile openssl-test-server.cnf -extensions v3_req

为服务器创建测试PEM文件。

cat mongodb-test-server1.crt mongodb-test-server1.key > test-server1.pem

对于MongDB 4.2或更高版本

mongod --tlsMode requireTLS --tlsCertificateKeyFile test-server1.pem  --tlsCAFile test-ca.pem

对于MongoDB 4.0及更早的版本

mongod --sslMode requireSSL --sslPEMKeyFile test-server1.pem  --sslCAFile test-ca.pem

在macOS系统中

如果你使用Keychain Access管理证书，创建一个pkcs-12而不是PEM文件添加到Keychain Access中。

openssl pkcs12 -export -out test-client.pfx -inkey mongodb-test-client.key -in mongodb-test-client.crt -certfile mongodb-test-ia.crt

对于MongoDB 4.2或者更高版本

mongo --tls --tlsCertificateSelector subject="<TestClientCertificateCommonName>"

对于MongoDB 4.0及更早版本

mongo --ssl --sslCertificateSelector subject="<TestClientCertificateCommonName>"

要向Keychain Access添加证书，请参阅Keychain Access的官方文档。

另请参阅

译者：谢伟成

上一页附录-A-用于测试的 OpenSSl CA 证书下一页附录-C-用于测试的OpenSSL客户端证书

最后更新于3年前