【发布时间】:2018-12-23 01:27:47
【问题描述】:
我正在尝试为 CentOS7 上的 Bolt 通信设置启用了 TLS 的 Neo4j。服务器当前安装为系统服务。我已生成自签名证书和密钥:
sudo openssl genrsa -des3 -out /var/ssl/ca.key 4096``
sudo openssl req -new -x509 -days 365 -key /var/ssl/ca.key -out /var/ssl/ca.crt
sudo openssl genrsa -des3 -out /var/ssl/neo4j/serv.key 1024``
sudo openssl req -new -key /var/ssl/neo4j/serv.key -out /var/ssl/neo4j/server.csr
sudo openssl x509 -req -days 365 -in /var/ssl/neo4j/server.csr -CA /var/ssl/ca.crt -CAkey /var/ssl/ca.key -set_serial 01 -out /var/ssl/neo4j/server.crt
sudo openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in /var/ssl/neo4j/serv.key -out /var/ssl/neo4j/server.key
然后,我将 server.crt 文件复制到 /var/ssl/trusted/neo4j(根据 Neo4j 文档)并将以下行添加到我的 neo4j.conf 中:
dbms.ssl.policy.default.trusted_dir=/var/ssl/trusted/neo4j
dbms.ssl.policy.default.public_certificate=/var/ssl/neo4j/server.crt
dbms.ssl.policy.default.private_key=/var/ssl/neo4j/server.key
dbms.ssl.policy.default.base_directory=/var/ssl/neo4j/
dbms.connector.bolt.enabled=true
dbms.connector.bolt.tls_level=REQUIRED
最后,我将 ca.crt 文件添加到我的系统可信证书链中:
sudo cp /var/ssl/ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust
并重新启动服务器,该服务器正常运行。但是,在尝试使用 Python 客户端连接到服务器时,我看到以下错误:
neo4j.exceptions.SecurityError: Failed to establish secure connection to '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'
产生错误的 Python 代码:
from neo4j.v1 import GraphDatabase
from neo4j.v1 import TRUST_SYSTEM_CA_SIGNED_CERTIFICATES
uri = "bolt://localhost:7687"
driver = GraphDatabase.driver(uri, auth=("neo4j", "neo4j"), trust=TRUST_SYSTEM_CA_SIGNED_CERTIFICATES)
CA 证书应该添加到我的系统信任链中,其他应用程序似乎可以使用它,但是 Neo4j 客户端似乎无法使用它来验证从服务器返回的证书。 Neo4j 是否仅将此 CA 用于 HTTPS 端点,而不是 TLS 端点?如果是这样,我怎样才能将 Bolt 端点的 CA 证书放入我系统的信任链中?
【问题讨论】:
标签: python neo4j openssl tls1.2 neo4j-python-driver