Estoy trasladando un servidor mongodb a producción en mi máquina Ubuntu. Obtuve un certificado SSL firmado por un tercero y lo instalé en el servidor. Los clientes pueden conectarse a él utilizando la CA de su sistema y validar la identidad del servidor.
Sin embargo, el sitio web de mongodb menciona certificados de cliente. ¿Puedo generarlos ya que la CA es un tercero? Intenté usar openssl para generarlos pasando el certificado y la clave de mi servidor, pero también me solicita uno server.srl
que no tengo. No estoy seguro de qué hacer para generarlos o si los necesito. Supongo que serían una capa adicional de seguridad, ya que podré verificar la identidad del cliente además de que ellos verifiquen la mía.
¡Gracias!
Respuesta1
"¿Puedo generarlos ya que la CA es un tercero?" ¡No!
Para generar un certificado (es decir, firmar una solicitud de certificado), necesita la clave privada del certificado de canto. Y esta clave es privada (es decir, secreta) como su nombre lo indica.
Puede solicitar otro certificado al tercero. Este sería entonces unclientecertificado. Sin embargo, quizás esta empresa solo ofrezcaservidorcertificados.
Puede crear el certificado de CA y el certificado de cliente usted mismo. En la configuración de MongoDB, puede especificar CA por separado para los certificados de cliente y servidor.
En MongoDB puede utilizar un certificado de cliente "sólo" como certificado o puede utilizarlo para autenticación en lugar de nombre de usuario/contraseña.
Mira estohttps://stackoverflow.com/questions/41302023/how-security-in-mongodb-works-using-x-509-cert/75043317#75043317para obtener una visión general.