我正在尝试使用ssl设置mongodb 2.6.8 replicaset。我使用ssl支持手动编译mongo并在我的配置中启用了ssl,如下所示:
sslMode=requireSSL
sslPEMKeyFile=/etc/ssl/mongodb.pem
sslCAFile=/etc/ssl/client.pem
sslWeakCertificateValidation=true
replSet=rs0
我在每台服务器上创建了运行openssl的mongodb.pem和client.pem文件,如下所示:
# openssl req -new -x509 -days 365 -nodes -out mongodb-cert.crt -keyout mongodb-cert.key -subj '/C=US/ST=MA/L=Waltham/CN=<fully qualified domain name>'
# cat mongodb-cert.key mongodb-cert.crt > mongodb.pem
# openssl req -new -x509 -days 365 -nodes -out client-cert.crt -keyout client-cert.key -subj '/C=US/ST=MA/L=Waltham/CN=<fully qualified domain name>'
# cat client-cert.key client-cert.crt > client.pem
在每台服务器上,我可以确认证书和ssl是否正常工作,因为在我的每台服务器上,我都可以执行以下操作:
mongo --ssl --sslPEMKeyFile=/etc/ssl/client.pem --sslCAFile=/etc/ssl/mongodb.pem <fully qualified domain name>
让我进入mongo shell。
在主节点上,我可以执行rs.initiate()和rs.status(),看起来很好:
> rs.initiate()
{
"info2" : "no configuration explicitly specified -- making one",
"me" : "<fqdn node 1>:27017",
"info" : "Config now saved locally. Should come online in about a minute.",
"ok" : 1
}
> rs.status()
{
"set" : "rs0",
"date" : ISODate("2015-04-02T20:25:27Z"),
"myState" : 1,
"members" : [
{
"_id" : 0,
"name" : "<fqdn node 1>:27017",
"health" : 1,
"state" : 1,
"stateStr" : "PRIMARY",
"uptime" : 23,
"optime" : Timestamp(1428006318, 1),
"optimeDate" : ISODate("2015-04-02T20:25:18Z"),
"electionTime" : Timestamp(1428006318, 2),
"electionDate" : ISODate("2015-04-02T20:25:18Z"),
"self" : true
}
],
"ok" : 1
}
然而,当我尝试添加第二个成员时,我得到了可怕的13144错误:
rs0:PRIMARY> rs.add("<fqdn node 2>:27017")
{
"errmsg" : "exception: need most members up to reconfigure, not ok : <fqdn node 2>:27017",
"code" : 13144,
"ok" : 0
}
我还应该注意,两台主机之间的连接工作正常,即在节点1上:
mongo --ssl --host <fqdn node 2>
或在节点2上:
mongo --ssl --host <fqdn node 1>
都工作。
如何将ssl选项和/或证书传递给rs.add()命令?
我实际上并不关心传递证书(这就是我指定sslWeakCertificateValidation = true的原因);我更关心确保节点之间的通信是在ssl。
答案 0 :(得分:0)
很难确定哪里出了问题,但我得到了一些意见:
replSet=rs0项