Estou movendo um servidor mongodb para produção na minha máquina Ubuntu. Recebi um certificado SSL assinado por terceiros e instalei-o no servidor. Os clientes podem se conectar a ele usando a CA do sistema e validar a identidade do servidor.
No entanto, o site do mongodb menciona certificados de cliente. Posso gerá-los já que a CA é terceira? Tentei usar o openssl para gerá-los, passando o certificado e a chave do meu servidor, mas também está solicitando um server.srlque não tenho. Não tenho certeza do que fazer para gerá-los ou se preciso deles. Presumo que eles seriam uma camada adicional de segurança, pois poderei verificar a identidade do cliente, além de eles verificarem a minha.
Obrigado!
Responder1
"Posso gerá-los já que a CA é um terceiro?" Não!
Para gerar um certificado (ou seja, assinar uma solicitação de certificado), você precisa da chave privada do certificado de canto. E esta chave é privada (ou seja, secreta) como o nome indica.
Você pode solicitar outro certificado a terceiros. Este seria então umclientecertificado. No entanto, talvez esta empresa ofereça apenasservidorcertificados.
Você mesmo pode criar o certificado CA e o certificado do cliente. Na configuração do MongoDB você pode especificar CA separadamente para certificados de cliente e servidor.
No MongoDB você pode usar um certificado de cliente "apenas" como certificado ou pode usá-lo para autenticação em vez de nome de usuário/senha.
Dê uma olhada emhttps://stackoverflow.com/questions/41302023/how-security-in-mongodb-works-using-x-509-cert/75043317#75043317para obter uma visão geral.