x.509

客户证书要求¶

客户端证书必须具有以下属性：

• 单个证书颁发机构（CA）必须同时为客户端和服务器颁发证书。

• 客户端证书必须包含以下字段：

  复制

  keyUsage = digitalSignature
  extendedKeyUsage = clientAuth
  

• 每个唯一的MongoDB用户必须具有唯一的证书。

• 客户端X.509证书的主题，其中包含了专有名称（DN），必须区别从一个的 成员X.509证书。具体而言，主题必须至少具有以下属性之一：组织（O），组织单位（OU）或域组件（DC）。

  如果已tlsX509ClusterAuthDNOverride设置MongoDB部署 （从MongoDB 4.2开始可用），则客户端x.509证书的主题也必须与此值不同。

  警告

  如果客户端x.509证书的主题与成员x.509证书（或已 设置）具有相同的O， OU和DC组合 ，则该客户端将被标识为群集成员，并被授予对系统的完全权限。tlsX509ClusterAuthDNOverride

MongoDB的用户和$external数据库¶

要使用客户端证书进行身份验证，您必须首先将客户端证书中的的值添加subject为MongoDB用户。每个唯一的x.509客户端证书都对应一个MongoDB用户；也就是说，您不能使用单个客户端证书来认证一个以上的MongoDB用户。

在$external数据库中添加用户；即 认证数据库是$external数据库

验证¶

要使用x.509客户端证书进行连接和身份验证，请执行以下操作：

• 对于MongoDB 4.2或更高版本，请为客户端包括以下选项：
  • --tls（或不建议使用的--ssl选项）
  • --tlsCertificateKeyFile （或不建议使用的--sslPEMKeyFile选项）
  • --tlsCertificateKeyFilePassword （或不建议使用的--sslPEMKeyPassword选项）证书密钥文件是否已加密
  • --authenticationDatabase '$external'
  • --authenticationMechanism MONGODB-X509
• 对于MongoDB 4.0和更早版本，为客户端包括以下选项：
  • --ssl
  • --sslPEMKeyFile
  • --sslPEMKeyPassword如果--sslPEMKeyFile加密，则为选项。
  • --authenticationDatabase '$external'
  • --authenticationMechanism MONGODB-X509

您还可以先建立TLS / SSL连接，然后db.auth()在$external数据库中使用 它进行身份验证。

有关两种情况的示例，请参阅使用x.509证书对客户端进行身份验证 中的使用x.509证书进行身份验证（使用tls选项）部分。

会员证书要求¶

用于验证分片群集或副本集的成员资格的成员证书（net.tls.clusterFile，如果指定，则为net.tls.certificateKeyFile）必须具有以下属性：

• 单个证书颁发机构（CA）必须为分片群集或副本集的成员颁发所有x.509证书。

• DN在成员证书的中subject，专有名称（） 必须为以下属性中的至少一个指定非空值：组织（O），组织单位（OU）或域组件（DC）。

• 组织属性（Os），组织单位属性（OUs）和域组件（DCs）必须与其他群集成员的证书（或tlsX509ClusterAuthDNOverride值，如果已设置）相匹配。

  为了匹配，证书必须匹配这些属性的所有规范，甚至必须匹配这些属性的非规范。属性的顺序无关紧要。

  在下面的例子中，两个DN的包含用于匹配的规格O，OU以及所述的非规范DC属性。

  复制

  CN=host1,OU=Dept1,O=MongoDB,ST=NY,C=US
  C=US, ST=CA, O=MongoDB, OU=Dept1, CN=host2
  

  但是，以下两个DN包含不匹配的 OU属性，因为一个包含两个OU规范，另一个包含一个规范。

  复制

  CN=host1,OU=Dept1,OU=Sales,O=MongoDB
  CN=host2,OU=Dept1,O=MongoDB
  

• 公用名（CN）或主题备用名（SAN）之一必须与服务器的主机名匹配，该主机名由集群的其他成员使用。从MongoDB 4.2开始，在执行SAN比较时，MongoDB支持DNS名称或IP地址的比较。在以前的版本中，MongoDB仅支持DNS名称的比较。

  例如，群集的证书可以具有以下主题：

  复制

  subject= CN=<myhostname1>,OU=Dept1,O=MongoDB,ST=NY,C=US
  subject= CN=<myhostname2>,OU=Dept1,O=MongoDB,ST=NY,C=US
  subject= CN=<myhostname3>,OU=Dept1,O=MongoDB,ST=NY,C=US
  

• 如果证书包含扩展密钥用法（extendedKeyUsage）设置，则该值必须包含clientAuth（“ TLS Web客户端身份验证”）。

  复制

  extendedKeyUsage = clientAuth
  

  您还可以使用不包含扩展密钥用法（EKU）的证书。

MongoDB成员身份验证配置¶

除了适合您的部署的任何TLS / SSL配置之外，还包括以下内容，以便为副本集（即mongod实例）或分片群集（即 mongod和mongos实例）的每个成员指定用于内部身份验证的x.509 ：

• security.clusterAuthMode或--clusterAuthMode设置为x509
• net.tls.clusterFile或--tlsClusterFile（在MongoDB 4.2中都是新功能）

但是，如果未指定集群文件，则成员可以使用在net.tls.certificateKeyFile或 --tlsCertificateKeyFile （在MongoDB 4.2中都是新增的）中指定的证书密钥文件 进行成员身份验证。这 是使用（和）实例来证明自己的身份给客户，但也可用于会员认证。要同时用于客户端身份验证和成员身份验证，证书必须：certificate key filemongodmongos

• 省略extendedKeyUsage或
• 指定extendedKeyUsage值

下一步¶

有关x.509内部身份验证的示例，请参阅 使用x.509证书进行成员身份验证。