Ubuntu マシンで mongodb サーバーを本番環境に移行しています。サードパーティによって署名された SSL 証明書を取得し、サーバーにインストールしました。クライアントはシステムの CA を使用してサーバーに接続し、サーバーの ID を検証できます。
ただし、mongodb の Web サイトにはクライアント証明書について記載されています。CA がサードパーティであるため、証明書を生成することはできますか? openssl を使用してサーバーの証明書とキーを渡すことで証明書を生成しようとしましたが、証明書も要求されますが、証明書server.srlは持っていません。証明書を生成するにはどうすればよいか、また証明書が必要かどうかはわかりません。クライアントが私の身元を確認するだけでなく、クライアントの身元を確認できるため、セキュリティがさらに強化されるものと思います。
ありがとう!
答え1
「CA はサードパーティなので、生成できますか?」いいえ。
証明書を生成するには (つまり、証明書要求に署名するには)、署名証明書の秘密キーが必要です。このキーは、名前が示すように、秘密 (つまり、秘密) です。
第三者に別の証明書を要求できます。これは、クライアント証明書。しかし、この会社が提供しているのはサーバ証明書。
CA 証明書とクライアント証明書は自分で作成できます。MongoDB 構成では、クライアント証明書とサーバー証明書に CA を個別に指定できます。
MongoDB では、クライアント証明書を「単なる」証明書として使用することも、ユーザー名/パスワードの代わりに認証に使用することもできます。