java - Mongo SSL 和 Java 驱动程序

Question

我正在使用基于 2.6.5 的 SSL 从源代码构建的 Mongo。我设置了一个 3 节点复制集，在节点之间进行 SSL 成员通信。这一切都有效!

SSL 的配置如下所示:

# SSL options
sslMode = requireSSL
sslPEMKeyFile = /etc/ssl/mongo/serverSSL1.pem
sslCAFile = /etc/ssl/mongo/rootCA.pem
clusterAuthMode = x509 
sslClusterFile = /etc/ssl/mongo/serverInternal1.pem

我已经设置了一个 CA 并用它来签署 key 文件和集群文件。我的理解是 sslPEMKeyFile 用于加密通过网络传输的所有流量，而 sslClusterFile 用于对集群成员进行身份验证。

正如我所说，到目前为止，还不错。

我的问题是客户端使用 Java 驱动程序进行连接。我正在使用 2.12.4 版进行连接，我很接近……但没有雪茄。我正在使用来自数据库的 PEM key 动态生成一个 keystore ( keystore 生成得很好)，然后我用它来尝试连接到 MongoDB 集群。

我正在使用下面的代码创建连接并发出一个简单的命令:

try {
    certs c = new certs(s);

    MongoCredential credential = MongoCredential.createMongoX509Credential("emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=local.com,L=Nottingham,ST=Nottinghamshire,C=GB");

    //m = new MongoClient(seeds, new MongoClientOptions.Builder().socketFactory(CertificateManager.prepFactory()).build());
    m = new MongoClient(seeds, Arrays.asList(credential), new MongoClientOptions.Builder().socketFactory(c.getSSLSocketFactory()).build());

    m.setReadPreference(ReadPreference.primaryPreferred());
    m.setWriteConcern(WriteConcern.ACKNOWLEDGED);
}
catch (MongoException ex) {
    System.out.println("a");
}

我生成了一个 PEM 证书并以编程方式将其添加到 keystore (从 c.getSSLSocketFactory() 返回)，其方式与生成原始成员证书的方式大致相同。

CERNAME=client
openssl genrsa -out $CERNAME.key 4096
openssl req -new -key $CERNAME.key -out $CERNAME.csr -subj "/C=GB/ST=Nottinghamshire/L=Nottingham/O=Local.com/OU=Mongo Clients/CN=10.27.2.103/emailAddress=administrator@local.com"
openssl x509 -req -in $CERNAME.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out $CERNAME.crt -days 365
cat $CERNAME.key $CERNAME.crt > $CERNAME.pem
openssl pkcs8 -topk8 -in $CERNAME.pem -inform pem -out $CERNAME-pk8.key  -outform pem -nocrypt
cat $CERNAME-pk8.key $CERNAME.crt > $CERNAME-pk8.pem

我已将用户添加到集群:

db.getSiblingDB("$external").auth(
  {
    mechanism: "MONGODB-X509",
    user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Clients,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB"
  }
)

当我运行 Java 代码并尝试连接时，我从客户端收到以下错误:

Exception in thread "main" com.mongodb.CommandFailureException: { "serverUsed" : "mongo1.local.com:22000" , "ok" : 0.0 , "errmsg" : "auth failed" , "code" : 18}
    at com.mongodb.CommandResult.getException(CommandResult.java:76)
    at com.mongodb.CommandResult.throwOnError(CommandResult.java:131)
    at com.mongodb.DBPort$X509Authenticator.authenticate(DBPort.java:624)
    at com.mongodb.DBPort.authenticate(DBPort.java:364)
    at com.mongodb.DBPort.checkAuth(DBPort.java:375)
    at com.mongodb.DBTCPConnector.innerCall(DBTCPConnector.java:291)
    at com.mongodb.DBTCPConnector.call(DBTCPConnector.java:271)
    at com.mongodb.DBCollectionImpl.find(DBCollectionImpl.java:84)
    at com.mongodb.DB.command(DB.java:317)
    at com.mongodb.DB.command(DB.java:296)
    at com.mongodb.DBCollection.getStats(DBCollection.java:1742)
    at test.Test.mongoConnection(Test.java:105)
    at test.Test.main(Test.java:67) 

在服务器日志中我得到:

2014-11-21T21:48:17.810+0000 [conn23719]  authenticate db: $external { authenticate: 1, user: "emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB", mechanism: "MONGODB-X509" }
2014-11-21T21:48:17.810+0000 [conn23719] Failed to authenticate emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Client,O=Local.com,L=Nottingham,ST=Nottinghamshire,C=GB@$external with mechanism MONGODB-X509: AuthenticationFailed There is no x.509 client certificate matching the user.    

我已经启用了 Java 调试，据我所知，它似乎只引用了一次或两次上述证书 - 那是在代码执行开始时将其添加到 keystore 。当建立 Mongo 连接时，没有进一步提及它。但是，在建立连接时大量提及在 SSL 握手中使用的其他证书。

我已尽力提供尽可能多的相关信息，但请询问我是否可以提供其他任何信息。

如果能帮助客户端连接数据库并进行身份验证，我们将不胜感激。

Answer 1

对此的答案是确保使用主题作为别名将 key 添加到 keystore 。

在我的示例中，我添加了别名 emailAddress=administrator@local.com,CN=10.27.2.103,OU=Mongo Clients,O=Local.com,L=Nottingham,ST=Nottinghamshire, C=GB 一切正常。