免责声明
提供此页面仅用于测试目的,证书仅用于测试目的。
以下教程提供了创建测试 x.509证书的一些基本步骤 :
本页概述的过程使用测试中间权限证书和密钥,mongodb-test-ia.crt
并且mongodb-test-ia.key
在附录A-OpenSSL CA测试证书中创建。
以下过程概述了为MongoDB服务器创建测试证书的步骤。有关为MongoDB客户端创建测试证书的步骤,请参阅附录C-用于测试的OpenSSL客户端证书。
使用以下内容为您的服务器创建一个测试配置文件openssl-test-server.cnf
:
在该[alt_names]
部分中,为MongoDB服务器输入适当的DNS名称和/或IP地址。您可以为MongoDB服务器指定多个DNS名称。
对于OpenSSL SAN标识符,MongoDB支持:
可选的。您可以更新默认专有名称(DN)值。
小费
为以下属性中的至少一个指定一个非空值:组织(O
),组织单位(OU
)或域组件(DC
)。
为内部成员身份验证创建测试服务器证书时,如果指定了以下属性,则这些属性必须在成员证书之间完全匹配:组织(O
),组织单位(OU
),域组件(DC
)。
有关内部成员资格认证要求的更多信息,请参阅成员资格认证。
重要
在继续之前,请确保已[alt_names]
在配置文件的部分中输入了适当的DNS名称openssl-test-server.cnf
。
创建测试密钥文件mongodb-test-server1.key
。
创建测试证书签名请求mongodb-test-server1.csr
。
当要求提供专有名称值时,为您的测试证书输入适当的值:
O
),组织单位(OU
)或域组件(DC
)。O
),组织单位(OU
),域组件(DC
)。创建测试服务器证书mongodb-test-server1.crt
。
为服务器创建测试 PEM文件。
为TLS / SSL
测试配置或时,可以使用测试 PEM文件
。例如:mongod
mongos
对于MongoDB 4.2或更高版本
虽然仍然可以使用,--sslMode
,
--sslPEMKeyFile
,和
--sslCAFile
被弃用的MongoDB 4.2。
对于MongoDB 4.0和更早版本
如果您正在使用Keychain Access进行测试以管理证书,请创建一个pkcs-12文件而不是PEM文件添加到Keychain Access中:
将其添加到“钥匙串访问”后,无需指定证书密钥文件,而可以使用--tlsCertificateSelector
来指定要使用的证书。如果CA文件也在“钥匙串访问”中,则也可以省略
--tlsCAFile
。
对于MongoDB 4.2或更高版本
虽然仍然可用,--sslMode
并且--sslCertificateSelector
被弃用的MongoDB 4.2。
对于MongoDB 4.0和更早版本
要向“钥匙串访问”添加证书,请参阅“钥匙串访问”的官方文档。