作者:王孟儒062 | 来源:互联网 | 2022-12-09 18:44
概述:我有一个运行PHP 7的应用服务器,使用MongoDB PHP用户区库连接到运行MongoDB 3.6.x的单独数据库服务器.我有防火墙规则阻止从本地和私有接口以外的所有来源访问MongoDB服务器(即禁止公共IP访问).
通过PHP连接看起来像这样:
$context_information = array(
"ssl" => array(
"allow_self_signed" => false,
"verify_peer" => true,
"verify_peer_name" => true,
"verify_expiry" => true,
"cafile" => "/path/to/ca_bundle"
));
$cOntext= stream_context_create($context_information);
$cOnnection= new MongoDB\Client(
$host,
array('ssl'=>true),
array('context'=> $context)
);
我的MongoDB配置看起来像这样:
net:
port: 27017
bindIp: 127.0.0.1,10.138.196.241
ssl:
mode: requireSSL
PEMKeyFile: /path/to/my_ca_signed_cert
CAFile: /path/to/my_ca_bundle
my_ca_signed_cert
是.pem
使用我的openssl生成的RSA私钥生成的.crt
文件,以及CA提供的文件,以MongoDB手册中描述的方式生成,例如cat mongodb.key mongodb.crt > mongodb.pem
.my_ca_bundle
是.ca-bundle
由CA提供给我的.
此外,ca_bundle
PHP上下文中描述的.ca-bundle
文件与MongoDB配置中的文件相同.
问题:我继续收到以下错误:
[23-Jul-2018 16:33:33 America/Los_Angeles] PHP致命错误:未捕获MongoDB\Driver\Exception\ConnectionTimeoutException:找不到合适的服务器(serverSelectionTryOnce
设置):[TLS握手失败:错误:14090086:SSL例程:ssl3_get_server_certificate:证书验证失败,调用ismaster...
即使我注释掉CAFile
MongoDB配置的行,这个问题仍然存在.另外值得注意的是,当设置allow_self_signed
为true
if CAFile
被注释掉时,我可以成功连接,但是当它被取消注释时不能连接.
最后,当尝试通过MongoDB shell进行连接时,我收到以下错误:
2018-07-23T23:37:02.992 + 0000 E NETWORK [thread1] SSL对等证书验证失败:无法获得颁发者证书
2018-07-23T23:37:02.992 + 0000 E QUERY [thread1]错误:SSL对等证书验证的套接字异常[CONNECT_ERROR]失败:无法获得颁发者证书:
connect@src/mongo/shell/mongo.js:251:13
@(连接):1:6
异常:连接失败
预期行为:我不想使用客户端证书身份验证来连接到数据库.我目前想要的只是加密流量.这意味着能够在不允许自签名证书的情况下连接到数据库.
笔记:
我在应用程序服务器上成功设置了证书以进行HTTPS连接.此外,在测试此问题中引用的证书时,我已经成功运行了对文件的验证openssl verify -CAfile /path/to/my_ca_bundle /path/to/my_ca_signed_cert
.
当禁用SSL或启用自签名证书时,我的应用程序代码中的所有内容都有效.
关于所有这些的文档在许多方面都非常模糊,所以我不确定我的配置出错了.我应该考虑什么来解决这个问题?