【发布时间】:2014-11-21 22:14:48
【问题描述】:
我正在使用基于 2.6.5 的基于 SSL 的源代码构建的 Mongo。我使用节点之间的 SSL 成员通信设置了一个 3 节点复制集。这一切都有效!
SSL 的配置如下所示:
# SSL options
sslMode = requireSSL
sslPEMKeyFile = /etc/ssl/mongo/serverSSL1.pem
sslCAFile = /etc/ssl/mongo/rootCA.pem
clusterAuthMode = x509
sslClusterFile = /etc/ssl/mongo/serverInternal1.pem
我已经设置了一个 CA 并使用它来签署密钥文件和集群文件。我的理解是sslPEMKeyFile 用于加密通过网络传输的所有流量,sslClusterFile 用于对集群成员进行身份验证。
正如我所说,到目前为止,一切都很好。
我的问题是客户端使用 Java 驱动程序连接。我正在使用 2.12.4 版本进行连接,而且我很接近……但没有雪茄。我正在使用来自数据库的 PEM 密钥动态生成一个密钥库(密钥库生成得很好),然后我使用它来尝试连接到 MongoDB 集群。
我正在使用下面的代码来创建连接并发出一个简单的命令:
try {
certs c = new certs(s);
MongoCredential credential = MongoCredential.createMongoX509Credential("emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=local.com,L=Nottingham,ST=Nottinghamshire,C=GB");
//m = new MongoClient(seeds, new MongoClientOptions.Builder().socketFactory(CertificateManager.prepFactory()).build());
m = new MongoClient(seeds, Arrays.asList(credential), new MongoClientOptions.Builder().socketFactory(c.getSSLSocketFactory()).build());
m.setReadPreference(ReadPreference.primaryPreferred());
m.setWriteConcern(WriteConcern.ACKNOWLEDGED);
}
catch (MongoException ex) {
System.out.println("a");
}
我生成了一个 PEM 证书并以与生成原始成员证书的方式大致相同的方式以编程方式将其添加到密钥库(从 c.getSSLSocketFactory() 返回)。
CERNAME=client
openssl genrsa -out $CERNAME.key 4096
openssl req -new -key $CERNAME.key -out $CERNAME.csr -subj "/C=GB/ST=Nottinghamshire/L=Nottingham/O=Local.com/OU=Mongo Clients/CN=10.27.2.103/emailAddress=administrator@local.com"
openssl x509 -req -in $CERNAME.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out $CERNAME.crt -days 365
cat $CERNAME.key $CERNAME.crt > $CERNAME.pem
openssl pkcs8 -topk8 -in $CERNAME.pem -inform pem -out $CERNAME-pk8.key -outform pem -nocrypt
cat $CERNAME-pk8.key $CERNAME.crt > $CERNAME-pk8.pem
我已将用户添加到集群:
db.getSiblingDB("$external").auth(
{
mechanism: "MONGODB-X509",
user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Clients,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB"
}
)
当我运行 Java 代码并尝试连接时,我从客户端收到以下错误:
Exception in thread "main" com.mongodb.CommandFailureException: { "serverUsed" : "mongo1.local.com:22000" , "ok" : 0.0 , "errmsg" : "auth failed" , "code" : 18}
at com.mongodb.CommandResult.getException(CommandResult.java:76)
at com.mongodb.CommandResult.throwOnError(CommandResult.java:131)
at com.mongodb.DBPort$X509Authenticator.authenticate(DBPort.java:624)
at com.mongodb.DBPort.authenticate(DBPort.java:364)
at com.mongodb.DBPort.checkAuth(DBPort.java:375)
at com.mongodb.DBTCPConnector.innerCall(DBTCPConnector.java:291)
at com.mongodb.DBTCPConnector.call(DBTCPConnector.java:271)
at com.mongodb.DBCollectionImpl.find(DBCollectionImpl.java:84)
at com.mongodb.DB.command(DB.java:317)
at com.mongodb.DB.command(DB.java:296)
at com.mongodb.DBCollection.getStats(DBCollection.java:1742)
at test.Test.mongoConnection(Test.java:105)
at test.Test.main(Test.java:67)
在服务器日志中我得到:
2014-11-21T21:48:17.810+0000 [conn23719] authenticate db: $external { authenticate: 1, user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB", mechanism: "MONGODB-X509" }
2014-11-21T21:48:17.810+0000 [conn23719] Failed to authenticate emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB@$external with mechanism MONGODB-X509: AuthenticationFailed There is no x.509 client certificate matching the user.
我已经启用了 Java 调试,据我所知,这大约是 - 似乎它只引用了一次或两次上述证书 - 这是在代码执行开始时添加到密钥库。在建立 Mongo 连接时,没有进一步提及它。但是,在建立连接时,很多人提到了 SSL 握手中使用的其他证书。
我已尝试提供尽可能多的相关信息,但请询问我是否可以提供其他信息。
非常感谢任何帮助客户端连接数据库并进行身份验证的帮助。
【问题讨论】:
-
您可以尝试从 shell 进行身份验证吗?在将 auth 命令发送到服务器之前,您将收到一条更全面的错误消息,告诉您不匹配。
-
就是这样 - 我可以使用控制台上的证书进行连接就好了!我只是在连接到 Mongo 实例的 Java 驱动程序时遇到问题。