如何通过证书链文件在MongoDB副本集中高效管理多份SSL证书并确保安全认证?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1167个文字,预计阅读时间需要5分钟。
当然可以,请提供您想要改写的原文,我将按照您的要求进行修改。
更关键的是:副本集内部通信(oplog 同步、心跳)也走 TLS,但要求每个节点用自己的身份证明自己——不是“共享证书”,而是“各自持证、互相验证”。
- 每个节点必须有自己专属的 PEM 文件:
node1.pem、node2.pem、node3.pem - 每个 PEM 必须包含该节点全部可访问地址:比如 node2 的证书里得同时写
DNS.1 = node2.example.com、IP.1 = 192.168.1.11、IP.2 = 127.0.0.1 - 所有 PEM 都必须由同一个 CA 签发,且 CA 根证书(
ca.crt)要统一部署到每个节点的net.tls.CAFile
net.tls.certificateKeyFile 和 net.tls.clusterFile 到底能不能复用
可以物理复用文件路径,但逻辑上不能混用用途——这是最容易静默失败的点。
net.tls.certificateKeyFile 用于对外服务(客户端连接),而 net.tls.clusterFile 专供副本集成员间认证(比如 rs.syncFrom、replSetGetStatus)。
本文共计1167个文字,预计阅读时间需要5分钟。
当然可以,请提供您想要改写的原文,我将按照您的要求进行修改。
更关键的是:副本集内部通信(oplog 同步、心跳)也走 TLS,但要求每个节点用自己的身份证明自己——不是“共享证书”,而是“各自持证、互相验证”。
- 每个节点必须有自己专属的 PEM 文件:
node1.pem、node2.pem、node3.pem - 每个 PEM 必须包含该节点全部可访问地址:比如 node2 的证书里得同时写
DNS.1 = node2.example.com、IP.1 = 192.168.1.11、IP.2 = 127.0.0.1 - 所有 PEM 都必须由同一个 CA 签发,且 CA 根证书(
ca.crt)要统一部署到每个节点的net.tls.CAFile
net.tls.certificateKeyFile 和 net.tls.clusterFile 到底能不能复用
可以物理复用文件路径,但逻辑上不能混用用途——这是最容易静默失败的点。
net.tls.certificateKeyFile 用于对外服务(客户端连接),而 net.tls.clusterFile 专供副本集成员间认证(比如 rs.syncFrom、replSetGetStatus)。