我正在將 mongodb 伺服器移至我的 Ubuntu 機器上的生產環境。我獲得了第三方簽署的 ssl 憑證並將其安裝在伺服器上。客戶端能夠使用其係統的 CA 連接到它並驗證伺服器的身份。
但是,mongodb 網站提到了客戶端憑證。由於 CA 是第三方,我可以產生它們嗎?我嘗試使用 openssl 透過傳遞伺服器的憑證和金鑰來產生這些憑證和金鑰,但它也要求提供server.srl我沒有的憑證。我不確定如何生成這些,或者我是否需要它們。我認為它們將是一個額外的安全層,因為除了他們驗證我的身份之外,我還能夠驗證客戶的身份。
謝謝!
答案1
“由於 CA 是第三方,我可以產生它們嗎?”不!
為了產生證書(即簽署證書請求),您需要歌唱證書的私鑰。顧名思義,這個密鑰是私有的(即秘密)。
您可以向第三者索取另一份證書。這將是一個客戶證書。然而,也許這家公司只提供伺服器證書。
您可以自行建立CA憑證和用戶端憑證。在 MongoDB 設定中,您可以為客戶端和伺服器憑證分別指定 CA。
在 MongoDB 中,您可以「僅」使用用戶端憑證作為證書,也可以使用它來取代使用者名稱/密碼進行身份驗證。