Início / dba / Perguntas / 215532
Accepted
Joey Yi Zhao
Asked: 2018-08-22 15:01:57 +0800 CST

Conectando-se a um servidor mongodb autoassinado, embora o shell mongo não exija o arquivo `pem`

  • 772

Estou usando o driver nodejs mongodb para conectar a uma instância mongodb autoassinada. A versão do MongoDB e do Mongo Shell é 4.0.0. Abaixo está o comando para iniciar uma instância mongodb autoassinada:

mongod --port 27018 --sslMode requireSSL --sslPEMKeyFile mongodb.pem  --dbpath data

quando me conecto a este servidor com o shell mongo, posso usar o comando abaixo sem o arquivo pem:

mongo --port 27018 --ssl --sslAllowInvalidCertificates

Gostaria de saber para que o arquivo PEM é usado na conexão.

mongodb

2 respostas

  1. De acordo com a documentação do MongoDB aqui Antes de poder usar TLS/SSL, você deve ter um arquivo .pem contendo um certificado de chave pública e sua chave privada associada.

    Nota: Para o modo FIPS, certifique-se de que o certificado seja compatível com FIPS (ou seja, use algoritmos compatíveis com FIPS) e que a chave privada atenda ao padrão PKCS#8. Se você precisar converter uma chave privada para o formato PKCS#8, existem várias ferramentas de conversão, como openssl pkcs8 e outras.

    O MongoDB pode usar qualquer certificado TLS/SSL válido emitido por uma autoridade de certificação ou um certificado autoassinado. Se você usar um certificado autoassinado, embora o canal de comunicação seja criptografado, não haverá validação da identidade do servidor. Embora essa situação impeça a espionagem da conexão, ela o deixa vulnerável a um ataque man-in-the-middle. O uso de um certificado assinado por uma autoridade de certificação confiável permitirá que os drivers do MongoDB verifiquem a identidade do servidor.

    Em geral, evite usar certificados autoassinados, a menos que a rede seja confiável.

    Essa operação gera um novo certificado autoassinado sem senha e válido por 365 dias. Depois de ter o certificado, concatene o certificado e a chave privada em um arquivo .pem, como no exemplo a seguir:

    cat mongodb-cert.key mongodb-cert.crt > mongodb.pem

    Para sua referência adicional aqui

    • 0
  2. Best Answer

    Eu sei que é uma pergunta antiga, mas caso isso ajude alguém que se deparar com esta página procurando algo como eu fiz:

    O arquivo PEM existe para que o servidor forneça uma maneira de provar sua identidade para qualquer cliente que o solicite. Ele basicamente garantirá uma conexão segura para qualquer cliente. E em um ambiente de produção, haveria um certificado adequado, em vez de um autoassinado. Se você perceber, ao remover o --sslAllowInvalidCertificatessinalizador da cadeia de conexão, receberá a seguinte mensagem de erro para um certificado autoassinado:

    Erro: não foi possível conectar ao servidor :, falha na tentativa de conexão: SSLHandshakeFailed: Falha na validação do certificado de mesmo nível SSL: (800B0109)Uma cadeia de certificados processada, mas encerrada em um certificado raiz que não é confiável pelo provedor de confiança.

    O --sslAllowInvalidCertificatessinalizador é fornecido como uma solução alternativa para ambientes de teste/desenvolvimento. Tecnicamente, o cliente poderia usá-lo mesmo ao se conectar a um ambiente de produção. Mas, nesse caso, a perda é apenas do cliente, pois um elemento invasor pode estar se passando pelo servidor e, com esse sinalizador, o cliente não poderá verificar a identidade do servidor. Portanto, esse sinalizador só deve ser usado quando você tiver certeza absoluta de que está se conectando apenas ao servidor correto. No seu exemplo, você tem certeza. Mas se você não fosse, e quisesse ter certeza de que o servidor era realmente quem dizia ser, o PEM entraria em cena.

    • 0

relate perguntas