mongodb使用x509认证

副本集和分片集群的成员相互进行身份验证。对于成员的内部身份验证，MongoDB 可以使用 密钥文件或x.509证书。

首先部署副本集，并启动副本集集群。

生成x509证书（使用自签）

#生成ca：

openssl req -out ca.pem -new -x509 -days 3650

# 生成server.pem
#生成服务器端私钥

 openssl genrsa -out server.key 2048

#生成服务器端申请文件

openssl req -key server.key -new -out server.req

#生成服务器端证书

openssl x509 -req -in server.req -CA ca.pem -CAkey privkey.pem -CAcreateserial -out server.crt -days 3550

#合并服务器端私钥和服务器端证书，生成server.pem

cat server.key server.crt > server.pem

#校验服务器端pem文件

openssl verify -CAfile ca.pem server.pem

修改mongodb的配置文件mongo.conf，添加tls认证：

net:
  tls:
    mode: requireTLS
    certificateKeyFile: /etc/mongdb/mongossl/server.pem
    CAFile: /etc/mongdb/mongossl/ca.pem
    clusterFile: /etc/mongdb/mongossl/server.pem    ##集群内部认证
    allowInvalidCertificates: true
security:
  clusterAuthMode: x509

使用pem证书进行添加mongodb用户

查询pem证书里面的subject

openssl x509 -in server.pem -inform PEM -subject -nameopt RFC2253

登录mongodb，使用x.509证书的subject进行创建用户

db.getSiblingDB("$external").runCommand(
 {
  createUser:"CN=mongoserver,OU=OP,O=xxxxmongo,L=beijing,ST=beijing,C=CN",
  roles:[
   {role:"root",db:"admin"}
   ]
 }
)

重启mongodb

登录测试连接：

mongo --tls --tlsCertificateKeyFile /etc/mongdb/mongossl/server.pem --tlsCAFile /etc/mongdb/mongossl/ca.pem --authenticationDatabase='$external' --authenticationMechanism MONGODB-X509 --host=mongoserver --port=28017

注意host需要填写创建证书的时候的hostname