4

我正在尝试为 CentOS7 上的 Bolt 通信设置启用了 TLS 的 Neo4j。服务器当前安装为系统服务。我已经生成了一个自签名证书和密钥:

sudo openssl genrsa -des3 -out /var/ssl/ca.key 4096``
sudo openssl req -new -x509 -days 365 -key /var/ssl/ca.key -out /var/ssl/ca.crt
sudo openssl genrsa -des3 -out /var/ssl/neo4j/serv.key 1024``
sudo openssl req -new -key /var/ssl/neo4j/serv.key -out /var/ssl/neo4j/server.csr
sudo openssl x509 -req -days 365 -in /var/ssl/neo4j/server.csr -CA /var/ssl/ca.crt -CAkey /var/ssl/ca.key -set_serial 01 -out /var/ssl/neo4j/server.crt
sudo openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in /var/ssl/neo4j/serv.key -out /var/ssl/neo4j/server.key

然后,我将 server.crt 文件复制到 /var/ssl/trusted/neo4j(根据 Neo4j 文档)并将以下行添加到我的 neo4j.conf 中:

dbms.ssl.policy.default.trusted_dir=/var/ssl/trusted/neo4j
dbms.ssl.policy.default.public_certificate=/var/ssl/neo4j/server.crt
dbms.ssl.policy.default.private_key=/var/ssl/neo4j/server.key
dbms.ssl.policy.default.base_directory=/var/ssl/neo4j/
dbms.connector.bolt.enabled=true
dbms.connector.bolt.tls_level=REQUIRED

最后,我将 ca.crt 文件添加到我的系统可信证书链中:

sudo cp /var/ssl/ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust

并重新启动服务器,该服务器正常运行。但是,在尝试使用 Python 客户端连接到服务器时,我看到以下错误:

neo4j.exceptions.SecurityError: Failed to establish secure connection to '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'

产生错误的Python代码:

from neo4j.v1 import GraphDatabase
from neo4j.v1 import TRUST_SYSTEM_CA_SIGNED_CERTIFICATES
uri = "bolt://localhost:7687"
driver = GraphDatabase.driver(uri, auth=("neo4j", "neo4j"), trust=TRUST_SYSTEM_CA_SIGNED_CERTIFICATES)

CA 证书应该添加到我的系统信任链中,其他应用程序似乎可以使用它,但是 Neo4j 客户端似乎无法使用它来验证从服务器返回的证书。Neo4j 是否仅将此 CA 用于 HTTPS 端点,而不是 TLS 端点?如果是这样,我怎样才能将 Bolt 端点的 CA 证书放入我系统的信任链中?

4

3 回答 3

0

我遇到了类似的问题,对我来说设置encrypted=False成功了:

driver = GraphDatabase.driver("bolt://localhost", auth=("neo4j", ""), encrypted=False)

来源: https ://github.com/neo4j/neo4j/issues/12392#issuecomment-583899597

于 2020-03-03T13:24:45.400 回答
0

显然,如果 Bolt 连接中不存在 Neo4j 的证书,它们会生成单独的证书,并且它们与 HTTPS 端点证书配置是分开的。

我的证书生成到 /var/lib/neo4j/certificates/ 中,名称为“neo4j.cert”和“neo4j.key”。当我在启动 Neo4j 服务器之前将我信任的 CA 签名的服务器证书和密钥复制到这些文件夹中时,它使用它们来保护 Bolt 端点,并且我能够连接到受保护的 Python 客户端。

于 2018-07-15T17:12:00.680 回答
0

从 Neo4j 第 4 版开始,Python 驱动程序实现了一组新的连接协议

  • neo4j+s://:带有加密的 Neo4jDriver(仅接受由证书颁发机构签署的证书),完整的证书检查。
  • neo4j+ssc://:带加密的 Neo4jDriver(接受自签名证书)。
  • neo4j://:没有加密的 Neo4jDriver。

因此,您可以使用以下内容来允许自签名证书。与往常一样,请注意这是不安全的,所以不要在生产中使用!

uri = "neo4j+scc://localhost:7687"
driver = GraphDatabase.driver(uri, auth=("neo4j", "neo4j"))

您也可以选择对 执行相同的操作bolt,但这neo4j是首选,因为它可以在集群(带有路由)和独立的单实例服务器上工作。

于 2021-07-28T15:00:12.450 回答