MongoDB工具 >MongoDB Kubernetes运营商 >部署MongoDB数据库资源 >为MongoDB数据库资源配置Kubernetes运算符 > 生成X.509客户端证书
MongoDB Enterprise Kubernetes Operator可以部署 启用X.509身份验证的 MongoDB实例 。如果已为部署启用X.509身份验证,则必须生成并使用X.509证书连接到部署。此新的客户端证书必须由Kubernetes CA签名才能被MongoDB部署接受。
使用本文档中概述的过程可以:
注意
传输层安全性(TLS),公钥基础结构(PKI)证书和证书颁发机构的完整描述不属于本文档的范围。该页面假定您具有TLS和X.509身份验证的先验知识。
CFSSL
生成X.509证书。CFSSL
是Cloudflare构建的证书生成工具
。有关安装的说明CFSSL
,请参阅
CFSSL GitHub页面。注意
本教程中使用的用户配置文件仅是示例。您可能需要调整示例中的值以适合您的部署需求。有关格式化用户ConfigMap的更多信息,请参见管理数据库用户。
运行以下命令为本教程中使用的配置文件创建新目录:
在client-x509-certs-tutorial
目录中,将以下JSON保存为 x509_user.json
:
运行以下命令以使用您的x509_user_key.json
密钥文件生成证书签名请求(CSR):
此命令生成两个文件:
x509_user-key.pem
,用户的私钥x509_user.csr
,代表用户的CSRKubernetes自己的证书颁发机构为
Kubernetes集群提供了受信任的CA。您需要上一部分中生成的.csr
和.pem
文件才能从Kubernetes申请新证书。
运行以下命令在Kubernetes中创建CSR:
您可以使用新证书。上一部分
中status.certificate
生成的CSR 的属性包含证书。
您需要x509_user-key.pem
和client.crt
文件,才能连接到部署。运行以下命令以将两个文件串联为一个新.pem
文件: