SSL-сертификат Mongo Gandi не является доверенным

Question

SSL-сертификат Mongo Gandi не является доверенным

У меня есть проблема на MongoDB для использования режима SSL. Когда я пытаюсь подключиться к своей базе данных, у меня появляется эта ошибка.

mongo --ssl --sslCAFile /etc/ssl/certs/GandiStandardSSLCA2.pem  --host plip.plop.com

MongoDB shell version: 3.0.6
connecting to: plip.plop.com:27017/test
2015-10-16T10:24:23.122+0000 E NETWORK  SSL peer certificate validation failed:certificate not trusted
2015-10-16T10:24:23.126+0000 E QUERY    Error: socket exception [CONNECT_ERROR] for
at connect (src/mongo/shell/mongo.js:181:14)
at (connect):1:6 at src/mongo/shell/mongo.js:181

мой сервер отвечает:

2015-10-16T10:26:53.034+0000 I NETWORK  [initandlisten] connection accepted from 172.17.0.227:48786 #1 (1 connection now open)
2015-10-16T10:26:53.046+0000 W NETWORK  [conn1] no SSL certificate provided by peer
2015-10-16T10:26:53.046+0000 I NETWORK  [conn1] end connection 172.17.0.227:48786 (0 connections now open)

(В может подключиться к моей БД, если я использую флаг --sslAllowInvalidCertificates)

Итак, как мне это сделать:

Я добавил сертификат SSL с этим кодом:

cp wildcart.plop.com.crt /etc/ssl/certs/wildcart.plop.com.crt
cp wildcart.plop.com.key /etc/ssl/private/wildcart.plop.com.key
cp GandiStandardSSLCA2.pem /usr/local/share/ca-certificates/gandi.net /GandiStandardSSLCA2.crt # come from https://wiki.gandi.net/en/ssl/intermediate
cat /etc/ssl/private/wildcart.plop.com.key /etc/ssl/certs/wildcart.plop.com.crt > /etc/ssl/certs/mongodb.pem
rm /etc/ssl/private/wildcart.plop.com.key /etc/ssl/certs/wildcart.plop.com.crt
update-ca-certificates
c_rehash

и мой mongodb начать с этой линии mongod --replSet plop --config /etc/mongodb/mongod

/etc/mongodb/mongod содержание:

net:
    ssl:
        mode: requireSSL
        PEMKeyFile: /etc/ssl/certs/mongodb.pem
        CAFile: /etc/ssl/certs/GandiStandardSSLCA2.pem
        allowConnectionsWithoutCertificates: true

Так вы можете помочь мне в этой проблеме? Я не понимаю, почему моему сертификату не доверяют. У вас есть идеи по этому поводу?

Заранее спасибо за помощь.

PS: извините за мой английский, я не совсем свободно говорю на английском:D

1

mongodb ssl trusted

Источник

user4601560 16 окт '15 в 10:39

1 ответ

Решение

Другие вопросы по тегам mongodb ssl trusted

user4601560 22 окт '15 в 09:12 2015-10-22 09:12 · Accepted Answer · 2015-10-22 09:12

Mongodb не использует глобальное хранилище доверия системы.

Файл sslCAFile должен содержать все промежуточные сертификаты цепочки проверки.

В моем случае цепочка сертификатов выглядит так:

Certificate chain
 0 s:/OU=Domain Control Validated/OU=Gandi Standard Wildcard SSL/CN=*.plop.com
   i:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2
 1 s:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2
   i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
 2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

Поэтому вам необходимо объединить промежуточные сертификаты Gandi с промежуточными сертификатами AddTrust External CA Root.

cat /etc/ssl/certs/GandiStandardSSLCA2.pem /ets/ssl/certs/AddTrust_External_Root.pem > /ets/ssl/certs/GandiStandardSSLCA2_full.pem

mongo --ssl --sslCAFile /ets/ssl/certs/GandiStandardSSLCA2_full.pem --host plip.plop.com

наслаждаться