mongodb - Mongo Gandi SSL 证书不受信任

标签 mongodb ssl trusted

我在 MongoDB 上使用 SSL 模式时遇到问题。 当我尝试连接我的数据库时,出现此错误。

mongo --ssl --sslCAFile /etc/ssl/certs/GandiStandardSSLCA2.pem  --host plip.plop.com

MongoDB shell version: 3.0.6
connecting to: plip.plop.com:27017/test
2015-10-16T10:24:23.122+0000 E NETWORK  SSL peer certificate validation failed:certificate not trusted
2015-10-16T10:24:23.126+0000 E QUERY    Error: socket exception [CONNECT_ERROR] for
at connect (src/mongo/shell/mongo.js:181:14)
at (connect):1:6 at src/mongo/shell/mongo.js:181

我的服务器响应:

2015-10-16T10:26:53.034+0000 I NETWORK  [initandlisten] connection accepted from 172.17.0.227:48786 #1 (1 connection now open)
2015-10-16T10:26:53.046+0000 W NETWORK  [conn1] no SSL certificate provided by peer
2015-10-16T10:26:53.046+0000 I NETWORK  [conn1] end connection 172.17.0.227:48786 (0 connections now open)

(如果我使用标志 --sslAllowInvalidCertificates 可以连接到我的数据库)

那么现在,我是怎么做到的:

我已使用此代码添加 SSL 证书:

cp wildcart.plop.com.crt /etc/ssl/certs/wildcart.plop.com.crt
cp wildcart.plop.com.key /etc/ssl/private/wildcart.plop.com.key
cp GandiStandardSSLCA2.pem /usr/local/share/ca-certificates/gandi.net /GandiStandardSSLCA2.crt # come from https://wiki.gandi.net/en/ssl/intermediate
cat /etc/ssl/private/wildcart.plop.com.key /etc/ssl/certs/wildcart.plop.com.crt > /etc/ssl/certs/mongodb.pem
rm /etc/ssl/private/wildcart.plop.com.key /etc/ssl/certs/wildcart.plop.com.crt
update-ca-certificates
c_rehash

我的 mongodb 是从这一行开始的 mongod --replSet plop --config/etc/mongodb/mongod

/etc/mongodb/mongod内容:

net:
    ssl:
        mode: requireSSL
        PEMKeyFile: /etc/ssl/certs/mongodb.pem
        CAFile: /etc/ssl/certs/GandiStandardSSLCA2.pem
        allowConnectionsWithoutCertificates: true

那么你能帮我解决这个问题吗?我不明白为什么我的证书不受信任。 你有什么想法吗?

预先感谢您的帮助。

PS:对不起我的英语,我的英语不是很流利:D

最佳答案

Mongodb 不使用系统的全局信任库。

sslCAFile 必须包含验证链的所有中间证书。

在我的例子中,证书链是这样的:

Certificate chain
 0 s:/OU=Domain Control Validated/OU=Gandi Standard Wildcard SSL/CN=*.plop.com
   i:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2
 1 s:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2
   i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
 2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

因此您需要将 Gandi 中间证书与 AddTrust 外部 CA 根中间证书相结合。

cat /etc/ssl/certs/GandiStandardSSLCA2.pem /ets/ssl/certs/AddTrust_External_Root.pem > /ets/ssl/certs/GandiStandardSSLCA2_full.pem

mongo --ssl --sslCAFile /ets/ssl/certs/GandiStandardSSLCA2_full.pem --host plip.plop.com

享受

关于mongodb - Mongo Gandi SSL 证书不受信任,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33168465/

上一篇:node.js - 如何在 node.js 中使用非 CA SSL 证书作为根证书?

下一篇:apache - 使用 https (SSL) 的网站无法在 IE 和 Safari 中打开

相关文章:

mongodb - 带有WiredTiger引擎的mongodb 3.0.3的最大数据库大小是多少

php - 将 PHP 更新到 5.3 后无法加载 mongo.so 扩展

ssl - TLS 证书主题(CN、OU 和 O)

javascript - 通过 ssl 调用 Javascript 函数

emulation - 使用 TSS 测试套件运行 Mario 的 TPM 模拟器

mongodb - 如何升级mongo服务器版本?

java - MongoTemplate 拉取查询

在主域下注册的 SSL,我们可以用于子域吗?

clickonce - Windows 8智能屏幕不允许签名clickonce应用程序

©2024 IT工具网  联系我们