用TLS保护MONGO (和相互TLS)

Question

按照MongoDB SSL加密与加密与驱动程序中的说明，我得到了2.1.0，在构建它之后，它说它不识别sslOnNormalPorts、sslPEMKeyFile或sslPEMKeyPassword。

但是我看到了一个--密钥文件，并使用了它(我不得不去掉前面和后面的RSA私钥--开始RSA私钥--和--最终RSA私钥--并从Base64编码密钥中拖出‘Base64’‘)。

现在，如果启动mongo，我的所有命令都能正常工作(显示dbs、使用xyz、db.abc.find()等)。

如果我试图指定主机和端口，就会得到：

mongo --host 192.168.1.100 --port 27017 MongoDB shell version: 2.1.0 connecting to: 192.168.1.100:27017/test

show dbs Mon Apr 30 21:37:37 uncaught exception: listDatabases failed:{ "errmsg" : "need to login", "ok" : 0 }

如果我加上-ssl标志来启动mongo，它就会挂起。当蒙神吐出来时：

Mon Apr 30 21:40:53 [initandlisten] options: { keyFile: "/Users/tshrestha/Downloads/key.pem" }
Mon Apr 30 21:40:53 [initandlisten] journal dir=/data/db/journal
Mon Apr 30 21:40:53 [initandlisten] recover : no journal files present, no recovery needed 
Mon Apr 30 21:40:53 [websvr] admin web console waiting for connections on port 28017
Mon Apr 30 21:40:53 [initandlisten] waiting for connections on port 27017
Mon Apr 30 21:41:16 [initandlisten] connection accepted from 192.168.1.102:64413 #1 (1 connection now open)
Mon Apr 30 21:41:53 [clientcursormon] mem (MB) res:14 virt:2419 mapped:0

我在MacOSX10.7上

Answer 1

keyfile选项用于在单神实例之间进行身份验证，而不是SSL --它只是将您剥离的SSL密钥看作是一个字符串。你拥有的是一个很长的密码，仅此而已。有关更多信息，请参见这里：

http://www.mongodb.org/display/DOCS/Security+and+Authentication

您缺少了必须使用带有ssl标志的scon重新编译的部分。重读本页：

http://www.mongodb.org/display/DOCS/Building+for+OS+X

你需要按照那里的说明，直到你到达上面写着的部分：

scons all

对于启用SSL的生成，需要使用：

scons --ssl all

一旦构建完成，mongod将识别您的SSL相关选项。注意-我已经在Mac上做了很多次了，没有问题。