为BI连接器配置SSL_MonogDB 中文网

MongoDB 工具

MongoDB工具 >MongoDB BI连接器 >参考 > 为BI连接器配置SSL

在本页面

先决条件
创建和测试自签名证书

为了使BI Connector安全地传输数据，您应该在MongoDB实例，mongosqld实例以及BI工具中启用安全套接字层（SSL）加密。SSL配置的完整描述不在本文讨论范围之内，但是本教程概述了创建自己的SSL证书以进行测试以及在启用SSL的情况下启动MongoDB组件的过程。

重要

本教程中描述的过程仅用于测试目的。生产环境应使用由公认的证书颁发机构（CA）颁发的SSL证书。

前提条件¶

具有足够权限运行的MongoDB用户 mongosqld。有关用户权限和BI连接器的详细信息，请参阅“缓存采样的用户权限”。
一mongod，你可以启动和停止实例。
一mongosqld，你可以启动和停止实例。
的OpenSSL
在MySQL外壳中

关于集群可用性的注意事项¶

对于MongoDB 副本集（包括分片副本集），请使用滚动升级过程来确保在过程进行过程中群集可以继续为读取操作提供服务。当副本集主数据库正在进行升级过程时，数据库应用程序必须保持或重试写入操作，直到自动故障转移和选择周期完成之后。有关更多信息，请参见副本集可用性。

创建和测试自签名证书¶

本教程包含有关创建多个文件的说明，这些文件允许mongosqld进程接受来自SQL客户端（例如MySQL Shell）的OpenSSL加密连接，并与mongod实例进行加密连接。我们创建两个.pem文件，每个文件都包含一个加密密钥和一个自签名SSL证书。

Windows
macOs

1个

创建证书目录¶

使用Windows cmdShell创建一个目录来保存您的证书。本教程使用C:\opt\certs。
复制
```
mkdir C:\opt\certs
cd C:\opt\certs
```

本教程假定您的OpenSSL目录位于C:\OpenSSL。如果它位于系统上的其他位置，请适当地编辑命令或将目录移动到 C:\OpenSSL。

如果您的C:\OpenSSL\bin目录不包含名为的配置文件openssl.cfg，请创建一个。此处提供了示例配置文件：

复制

#
# OpenSSL configuration file.
#

# Establish working directory.

dir                            = .

[ ca ]
default_ca                     = CA_default

[ CA_default ]
serial                 = $dir/serial
database                       = $dir/certindex.txt
new_certs_dir                  = $dir/certs
certificate                    = $dir/cacert.pem
private_key                    = $dir/private/cakey.pem
default_days                   = 365
default_md                     = md5
preserve                       = no
email_in_dn                    = no
nameopt                        = default_ca
certopt                        = default_ca
policy                 = policy_match

[ policy_match ]
countryName                    = match
stateOrProvinceName            = match
organizationName               = match
organizationalUnitName = optional
commonName                     = supplied
emailAddress                   = optional

[ req ]
default_bits                   = 1024
default_keyfile                = key.pem
default_md                     = md5
string_mask                    = nombstr
distinguished_name             = req_distinguished_name
req_extensions         = v3_req

[ req_distinguished_name ]
# Variable name                        Prompt string
#-------------------------     ----------------------------------
0.organizationName             = Organization Name (company)
organizationalUnitName = Organizational Unit Name (department, division)
emailAddress                   = Email Address
emailAddress_max               = 40
localityName                   = Locality Name (city, district)
stateOrProvinceName            = State or Province Name (full name)
countryName                    = Country Name (2 letter code)
countryName_min                = 2
countryName_max                = 2
commonName                     = Common Name (hostname, IP, or your name)
commonName_max         = 64

# Default values for the above, for consistency and less typing.
# Variable name                        Value
#------------------------      ------------------------------
0.organizationName_default     = My Company
localityName_default           = My Town
stateOrProvinceName_default    = State or Providence
countryName_default            = US

[ v3_ca ]
basicConstraints               = CA:TRUE
subjectKeyIdentifier           = hash
authorityKeyIdentifier = keyid:always,issuer:always

[ v3_req ]
basicConstraints               = CA:FALSE
subjectKeyIdentifier           = hash

设置环境变量以备后用。

复制

set OPENSSL_CONF=C:\OpenSSL\bin\openssl.cfg

生成自签名证书颁发机构¶

将目录更改为C:\opt\certs。
复制
```
cd C:\opt\certs
```
启动OpenSSL应用程序。
复制
```
C:\OpenSSL\bin\openssl.exe
```

以下命令生成私钥并将其输出到 mdbprivate.key。

复制

genrsa -out C:\opt\certs\mdbprivate.key -aes256 -passout pass:password

以下命令生成证书颁发机构文件并将其输出到mdbca.crt。

以下命令提示用户输入合并到证书请求中的几条信息。这些字段之一称为，它是完全合格的域名（FQDN）。该用于在教程的本步骤中生成的证书条目必须是来自不同对在步骤3和9生成的证书的条目。Common NameCommon NameCommon Name
复制
```
req -x509 -new -key C:\opt\certs\mdbprivate.key -days 1000 -out C:\opt\certs\mdbca.crt -passin pass:password
```

现在，我们有两个文件：mdbca.crt证书颁发机构文件和mdbprivate.key用于签署该请求的密钥。

为MongoDB服务器生成PEM证书¶

以下命令生成mongod 要使用的过程的密钥和证书签名请求（CSR）。对于此步骤，响应必须是实例在其中运行的服务器的完全合格域名（FQDN）。Common Namemongodwww.example.com

在OpenSSL提示符下输入以下命令：

复制

req -new -nodes -newkey rsa:2048 -keyout .\mdb.key -out .\mdb.csr

签署mongodb CSR¶

在OpenSSL提示符下输入以下命令：

复制

x509 -CA .\mdbca.crt -CAkey .\mdbprivate.key -CAcreateserial -req -days 1000 -in .\mdb.csr -out .\mdb.crt -passin pass:password

为MongoDB服务器创建一个PEM文件¶

一个.pem文件由一个键，连接在一起证书。要创建.pem供MongoDB实例使用的文件，请退出OpenSSL提示符，然后cmd在C:\opt\certs目录中的提示符处输入以下命令：

复制

copy .\mdb.key + .\mdb.crt mdb.pem

现在，您的证书目录中应该包含以下文件：

mdb.crt
mdb.csr
mdb.key
mdb.pem
mdbca.crt
mdbprivate.key

如果缺少任何内容，请返回并查看前面的步骤，检查是否有错误。

更新`mongod`配置文件¶

要配置mongod为要求SSL进行传入连接，请按如下所示修改配置文件。您的值可能会有所不同，具体取决于您创建SSL文件的位置。

选项	值
网络模式	`requireSSL`
net.ssl.PEMKeyFile	`C:\opt\certs\mdb.pem`
net.ssl.CAFile	`C:\opt\certs\mdbca.crt`
net.ssl.clusterFile	`C:\opt\certs\mdb.pem`
security.clusterAuthmode	`x509`

以下示例配置文件包含SSL连接和x.509 身份验证的指令。

注意

以下是示例mongod配置文件。您的配置文件可能需要其他或不同的选项。

复制

systemLog:
   destination: file
   path: 'C:\data\mongod.log'
   logAppend: true
net:
   bindIp: <step-3-FQDN>
   port: 27017
   ssl:
      mode: requireSSL
      PEMKeyFile: 'C:\opt\certs\mdb.pem'
      CAFile: 'C:\opt\certs\mdbca.crt'
      clusterFile: 'C:\opt\certs\mdb.pem'
security:
   clusterAuthMode: x509
storage:
   dbPath: 'C:\data\db'

如果您希望以mongod命令行选项而不是配置文件开头，请参见mongosqld参考资料。

重新启动`mongod`服务器。¶

复制

mongod.exe --config C:\path\to\mongod.conf

测试您与`mongo`外壳的连接。¶

使用mongo外壳连接到服务器以测试SSL连接。您的mongo命令需要以下SSL选项：

选项	值
–ssl	没有
–sslCAFile	`C:\opt\certs\mdbca.crt` （在步骤2.4中生成的文件）
–sslPEMKeyFile	`C:\opt\certs\mdb.pem` （在步骤5中生成的文件）

复制

.\mongo.exe --ssl --host <step3-common-name> --sslCAFile "C:\opt\certs\mdbca.crt" --sslPEMKeyFile "C:\opt\certs\mdb.pem"

适当地编辑您的选项。

为BI Connector创建密钥和CSR¶

此CSR 的条目应与您运行的服务器的FQDN相匹配。Common Namemongosqld

注意

此CSR 的条目必须与您在步骤2中创建的第一个CSR 的条目不同。Common NameCommon Name

启动OpenSSL应用程序，然后在OpenSSL提示符下输入以下命令：

复制

req -new -nodes -newkey rsa:2048 -keyout .\bi.key -out .\bi.csr

签名BI连接器证书¶

在OpenSSL提示符下输入以下命令：

复制

x509 -CA .\mdbca.crt -CAkey .\mdbprivate.key -CAcreateserial -req -days 1000 -in .\bi.csr -out .\bi.crt -passin pass:password

创建BI Connector PEM文件¶

退出OpenSSL应用程序，并在cmd提示符下输入以下命令：

复制

copy .\bi.key + .\bi.crt bi.pem

开始`mongosqld`¶

您的mongosqld配置文件需要几个特定于SSL的选项。您的值可能会有所不同，具体取决于您创建SSL文件的位置。

选项	值
`mongodb.net.ssl.enabled`	`true`
`mongodb.net.ssl.PEMKeyFile`	`C:\opt\certs\mdb.pem`
`mongodb.net.sslCAFile`	`C:\opt\certs\mdbca.crt`
`net.ssl.mode`	`requireSSL`
`net.ssl.PEMKeyFile`	`C:\opt\certs\bi.pem`
`net.ssl.CAFile`	`C:\opt\certs\mdbca.crt`

以下示例配置文件使用目录中的 C:\opt\certs文件。它指定一个用户名和密码，该用户名和密码与具有足够的权限运行mongosqld和读取test数据库的MongoDB用户相对应。

复制

systemLog:
  logAppend: false
  path: 'C:\logs\mongosqld.log'
  verbosity: 2

security:
  enabled: true

mongodb:
  net:
    uri: <step-3-FQDN>
    auth:
      username: <username>
      password: <password>
    ssl:
      enabled: true
      PEMKeyFile: 'C:\opt\certs\mdb.pem'
      CAFile: 'C:\opt\certs\mdbca.crt'

net:
  bindIp: localhost
  port: 3307
  ssl:
    mode: 'requireSSL'
    PEMKeyFile: 'C:\opt\certs\bi.pem'
    CAFile: 'C:\opt\certs\mdbca.crt'

schema:
  sample:
    namespaces: 'test.*'

从使用配置文件mongosqld的 --config选项开始。

复制

.\mongosqld --config C:\path\to\mongosqld.conf

使用ODBC数据源名称（DSN）进行测试¶

要创建通过SSL连接的ODBC DSN，请按照DSN教程中的说明进行操作，并使用SSL证书路径信息配置新的DSN。

在DSN配置屏幕的“ 连接”选项卡上，选中标有“ 启用明文身份验证”的框。

单击测试按钮以测试您的ODBC连接。

设置DSN后，您可以使用它来连接到多个BI工具中的任何一个，例如Power BI或 Qlik。

1个

创建证书目录¶

创建一个目录来保存您的证书。本教程使用 /opt/certs。运行mongod和 mongosqld程序的系统用户必须可以读取您的证书目录。

复制

mkdir /opt/certs
cd /opt/certs

生成自签名证书颁发机构¶

以下命令生成私钥并将其输出到 mdbprivate.key。

复制

openssl genrsa -out /opt/certs/mdbprivate.key -aes256 -passout pass:password

以下命令生成证书颁发机构文件并将其输出到mdbca.crt。

以下命令提示用户输入合并到证书请求中的几条信息。这些字段之一称为，它是完全合格的域名（FQDN）。该用于在教程的本步骤中生成的证书条目必须是来自不同对在步骤3和9生成的证书的条目。Common NameCommon NameCommon Name
复制
```
openssl req -x509 -new -key /opt/certs/mdbprivate.key -days 1000 \
-out /opt/certs/mdbca.crt -passin pass:password
```

现在，我们有两个文件：mdbca.crt证书颁发机构文件和mdbprivate.key用于签署该请求的密钥。

为MongoDB服务器生成PEM证书¶

以下命令生成mongod 要使用的过程的密钥和证书签名请求（CSR）。对于此步骤，响应必须是实例在其中运行的服务器的完全合格域名（FQDN）。要确定服务器的FQDN，请在命令提示符下使用。Common Namemongodwww.example.comhostname -f

可能会提示您输入该元素的质询密码。就本教程而言，您可以将此元素留为空白。Extra Attribute

复制

openssl req -new -nodes -newkey rsa:2048 -keyout /opt/certs/mdb.key \
-out /opt/certs/mdb.csr

签署mongodb CSR¶

复制

openssl x509 -CA /opt/certs/mdbca.crt -CAkey /opt/certs/mdbprivate.key \
-CAcreateserial -req -days 1000 -in /opt/certs/mdb.csr -out /opt/certs/mdb.crt \
-passin pass:password

为MongoDB服务器创建一个PEM文件¶

一个.pem文件由一个键，连接在一起证书。要创建.pem供MongoDB实例使用的文件，请在/opt/certs/目录中输入以下命令：

复制

cat /opt/certs/mdb.key /opt/certs/mdb.crt > /opt/certs/mdb.pem

现在，您的证书目录中应该包含以下文件：

mdb.crt
mdb.csr
mdb.key
mdb.pem
mdbca.crt
mdbprivate.key

如果缺少任何内容，请返回并查看前面的步骤，检查是否有错误。

更新`mongod`配置文件¶

要配置mongod为要求SSL进行传入连接，请按如下所示修改配置文件。您的值可能会有所不同，具体取决于您创建SSL文件的位置。

选项	值
网络模式	`requireSSL`
net.ssl.PEMKeyFile	`/opt/certs/mdb.pem`
net.ssl.CAFile	`/opt/certs/mdbca.crt`
net.ssl.clusterFile	`/opt/certs/mdb.pem`
security.clusterAuthmode	`x509`

以下示例配置文件包含SSL连接和x.509 身份验证的指令。

注意

以下是示例mongod配置文件。您的配置文件可能需要其他或不同的选项。

复制

systemLog:
   destination: file
   path: '/data/mongod.log'
   logAppend: true
processManagement:
   fork: true
   pidFilePath: '/data/mongod.pid'
net:
   bindIp: localhost
   port: 27017
   ssl:
      mode: requireSSL
      PEMKeyFile: '/opt/certs/mdb.pem'
      CAFile: '/opt/certs/mdbca.crt'
      clusterFile: '/opt/certs/mdb.pem'
security:
   clusterAuthMode: x509
storage:
   dbPath: '/data'

如果您希望以mongod命令行选项而不是配置文件开头，请参见mongosqld参考资料。

重新启动`mongod`服务器。¶

复制

mongod --config /path/to/mongod.conf

测试您与`mongo`外壳的连接。¶

使用mongo外壳连接到服务器以测试SSL连接。您的mongo命令需要以下SSL选项：

选项	值
–ssl	没有
–sslCAFile	`/opt/certs/mdbca.crt` （在步骤2.2中生成的文件）
–sslPEMKeyFile	`/opt/certs/mdb.pem` （在步骤5中生成的文件）

复制

mongo --ssl --host <step3-common-name> \
--sslCAFile /opt/certs/mdbca.crt --sslPEMKeyFile /opt/certs/mdb.pem

适当地编辑您的选项。

为BI Connector创建密钥和CSR¶

此CSR 的条目应与您运行的服务器的FQDN相匹配。要确定服务器的FQDN，请在命令提示符下使用。Common Namemongosqldhostname -f

可能会提示您输入该元素的质询密码。就本教程而言，您可以将此元素留为空白。Extra Attribute

注意

此CSR 的条目必须与您在步骤2中创建的第一个CSR 的条目不同。Common NameCommon Name

复制

openssl req -new -nodes -newkey rsa:2048 -keyout /opt/certs/bi.key \
-out /opt/certs/bi.csr

签名BI连接器证书¶

复制

openssl x509 -CA /opt/certs/mdbca.crt -CAkey /opt/certs/mdbprivate.key \
-CAcreateserial -req -days 1000 -in /opt/certs/bi.csr -out /opt/certs/bi.crt \
-passin pass:password

创建BI Connector PEM文件¶

复制

cat /opt/certs/bi.key /opt/certs/bi.crt > /opt/certs/bi.pem

开始`mongosqld`¶

您的mongosqld配置文件需要几个特定于SSL的选项。您的值可能会有所不同，具体取决于您创建SSL文件的位置。

选项	值
`mongodb.net.ssl.enabled`	`true`
`mongodb.net.ssl.PEMKeyFile`	`/opt/certs/mdb.pem`
`mongodb.net.sslCAFile`	`/opt/certs/mdbca.crt`
`net.ssl.mode`	`requireSSL`
`net.ssl.PEMKeyFile`	`/opt/certs/bi.pem`
`net.ssl.CAFile`	`/opt/certs/mdbca.crt`

以下示例配置文件使用目录中的 /opt/certs/文件。它指定一个用户名和密码，该用户名和密码与具有足够的权限运行mongosqld和读取test数据库的MongoDB用户相对应。

复制

systemLog:
  logAppend: false
  path: './logs/mongosqld.log'
  verbosity: 2

security:
  enabled: true

mongodb:
  net:
    uri: <step9-common-name>
    auth:
      username: <username>
      password: <password>
    ssl:
      enabled: true
      PEMKeyFile: '/opt/certs/mdb.pem'
      CAFile: '/opt/certs/mdbca.crt'

net:
  bindIp: localhost
  port: 3307
  ssl:
    mode: 'requireSSL'
    PEMKeyFile: '/opt/certs/bi.pem'
    CAFile: '/opt/certs/mdbca.crt'

schema:
  sample:
    namespaces: 'test.*'

从使用配置文件mongosqld的 --config选项开始。

复制

mongosqld --config /path/to/mongosqld.conf

使用MySQL Shell进行测试¶

要连接到您的mongosqld实例，请使用以下命令行选项启动MySQL Shell。

复制

mysql --ssl-mode REQUIRED --ssl-ca=/opt/certs/mdbca.crt \
--enable-cleartext-plugin --port 3307 -u <username> -p

MongoDB 工具

为BI连接器配置SSL

前提条件¶

关于集群可用性的注意事项¶

创建和测试自签名证书¶

创建证书目录¶

生成自签名证书颁发机构¶

为MongoDB服务器生成PEM证书¶

签署mongodb CSR¶

为MongoDB服务器创建一个PEM文件¶

更新mongod配置文件¶

重新启动mongod服务器。¶

测试您与mongo外壳的连接。¶

为BI Connector创建密钥和CSR¶

签名BI连接器证书¶

创建BI Connector PEM文件¶

开始mongosqld¶

使用ODBC数据源名称（DSN）进行测试¶

创建证书目录¶

生成自签名证书颁发机构¶

为MongoDB服务器生成PEM证书¶

签署mongodb CSR¶

为MongoDB服务器创建一个PEM文件¶

更新mongod配置文件¶

重新启动mongod服务器。¶

测试您与mongo外壳的连接。¶

为BI Connector创建密钥和CSR¶

签名BI连接器证书¶

创建BI Connector PEM文件¶

开始mongosqld¶

使用MySQL Shell进行测试¶

更新`mongod`配置文件¶

重新启动`mongod`服务器。¶

测试您与`mongo`外壳的连接。¶

开始`mongosqld`¶

更新`mongod`配置文件¶

重新启动`mongod`服务器。¶

测试您与`mongo`外壳的连接。¶

开始`mongosqld`¶