鉴于最近发生的MongoDB骇客事件。我们也遭到了黑客的打击。
我们启用了授权并更改了服务器的默认端口。
但是,我们希望借助自签名证书来加密与服务器的通信通道。
所以我们的配置如下所示
tls:
mode: requireTLS
allowConnectionsWithoutCertificates: false
certificateKeyFile: /etc/ssl/server.pem
CAFile: /etc/ssl/ca.crt
发生的情况是,当我尝试用客户机证书连接mongoshell时,连接经常被拒绝。但是在注释CAFile配置并使用--tlsAllowInavlidCertificates之后,将创建连接。
我通过以下链接创建了证书:https://gist.github.com/kevinadi/96090f6f9973ff8c2d019bbe0d9a0f70
要连接到服务器,我正在使用以下命令:
mongo --host hostname --username user --password password --authenticationDatabase admin --port port --tls --tlsCertificateKeyFile client.pem --tlsCAFile ca.crt
我不知道我在做什么错,这甚至是正确的方法吗?
服务器日志包含拒绝连接的原因。