8

AWS 文档指出,要连接到我的 DocumentDB 集群,我需要使用以 so 结尾的查询字符串?ssl_ca_certs=rds-combined-ca-bundle.pem&replicaSet=rs0。这是我的客户应该验证的根证书链。我不应该需要Client Certificate

使用 MongoDB C# 驱动程序和此特定查询,.pem在同一目录中的文件,我无法建立连接。如果我使用 Mongo Shell 中的相同.pem文件和查询字符串,我可以正确连接到我的数据库。它仅不适用于我的 .net 核心应用程序,该应用程序也在 AWS 上运行。

通过从集群中删除 TLS 并ssl_ca_certs从查询中删除选项,我可以正确连接到我的集群。

我以为我可以将我的.pem文件转换为.pfxusing openssl,但我必须提供.pfx密码并且MongoDB 文档指出

在加载带有密码的证书时,PrivateKey 属性必须不为空。如果该属性为空,则表示您的证书不包含私钥,不会传递给服务器。

如何使用Amazon AWS 提供.pem文件通过C# MongoDB 驱动程序连接到我的数据库?

4

6 回答 6

5

###Connection to Document DB with simple .Net console Application with SSL。

-> 首先,通过将参数 tls 设置为“启用”,在 Document DB 集群上启用 SSL。确保重新启动集群的写入器节点以重新启动整个集群,以便应用参数组更改。默认情况下,当您启动一个新的 Doc 数据库集群时启用 TLS。

-> 在您的环境中设置 SSL 证书:

1) 从以下链接下载源 Windows 机器上的 PKCS#7 SSL 证书:

https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b

2)点击开始菜单,点击运行并输入mmc

3) 在 MMC 中,文件->添加/删除管理单元。

4) 从管理单元列表中选择证书,然后单击添加。

5)受信任的 CA 证书应该放在本地计算机存储中,因此选择“计算机帐户”单选按钮,单击下一步,然后选择“本地计算机”。单击下一步,然后单击完成。

6)现在从左侧窗格(在控制台根目录下,您将看到“证书”选项。单击它。

7)将出现一个列表,右键单击“受信任的根证书颁发机构”,然后选择所有任务->导入

8)在打开的窗口中,点击下一步,浏览在步骤1中下载的证书(.p7b)文件(如果找不到,从文件类型下拉菜单中,选择所有文件),然后继续单击下一步,最后单击完成。然后保存配置。

->然后编写以下代码:

---------------------------------------------------

using MongoDB.Bson;
using MongoDB.Driver;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Cryptography.X509Certificates;
using System.Text;
using System.Threading.Tasks;
namespace FirstDocDB
{
    public class Program
    {
        public static void Main(string[] args)
        {
            var connectionString = "mongodb://pulkit:password@ClusterID:27017/?ssl=true&sslVerifyCertificate=true&replicaSet=rs0";
            var client = new MongoClient(connectionString);
            var database = client.GetDatabase("test");
            var collection = database.GetCollection("stuff");
            var document = collection.Find(new BsonDocument()).FirstOrDefault();
            Console.WriteLine(document.ToString());
        }
    }
}

---------------------------------------------------

->在构建和运行之后,我成功地获得了名为“stuff”的集合中的文档作为输出: { "_id" : ObjectId("5c5a63b10cf861158c1d241c"), "hello" : "world" }

因此,在完成上述步骤后,我可以使用 .Net 的 Mongo 驱动程序成功连接到 Document DB。

于 2019-03-06T04:28:08.703 回答
2

我遇到了类似的问题,通过 AWS 打开了一张票,并通过与 Pulkit Agarwal 的回答类似的步骤解决了这个问题。

主要更改是连接字符串,即使在将证书添加到本地存储后,我仍然使用查询字符串作为“?ssl_ca_certs=rds-combined-ca-bundle.pem&replicaSet=rs0”,需要将其更改为“?ssl=true&sslVerifyCertificate=true&replicaSet =rs0"

于 2019-03-08T04:03:01.920 回答
2

下面是有关如何在启用/禁用 TLS 的情况下使用 C#(和其他驱动程序)以编程方式连接到 Amazon DocumentDB 的示例。

https://docs.aws.amazon.com/documentdb/latest/developerguide/connect.html

于 2019-04-26T17:11:08.037 回答
1

这是另一种方式。但是,我发现通过将 SSL 与 C# Mongo 驱动程序一起使用不会进行连接池,并为每个调用打开一个新连接。您可以通过包含 MaxConnectionIdleTime 来减少活动连接,但如果您的应用程序创建大量连接,它仍然不理想。

    var connectionString = "username:password@cluster_endpoint:27017/?replicaSet=rs0";
    var clientSettings = MongoClientSettings.FromUrl(new MongoUrl("mongodb://" + connectionString));
    var certificatePath = "ssl\rds-combined-ca-bundle.pem";

    var pem = System.IO.File.ReadAllText(AppDomain.CurrentDomain.BaseDirectory + certificatePath);
    byte[] certBuffer = GetBytesFromPEM(pem, "CERTIFICATE");

    clientSettings.UseSsl = true;
    clientSettings.SslSettings = new SslSettings()
    {
        ClientCertificates = new List<X509Certificate2>()
        {
            new X509Certificate2(certBuffer)
        },
        EnabledSslProtocols = System.Security.Authentication.SslProtocols.Default,
        CheckCertificateRevocation = true
        };

    clientSettings.VerifySslCertificate = true;

    clientSettings.SslSettings.ClientCertificateSelectionCallback = (sender, host, certificates, certificate, issuers) => clientSettings.SslSettings.ClientCertificates.ToList()[0];
    clientSettings.SslSettings.ServerCertificateValidationCallback = (sender, certificate, chain, errors) => true;

    clientSettings.MaxConnectionIdleTime = new TimeSpan(0, 0, 30);

    _client = new MongoClient(clientSettings);
    _database = _client.GetDatabase(db.ToString());

于 2019-03-09T14:00:53.427 回答
1

值得补充的是,目前 MongoDB C# Driver 不支持PEM证书。所以任何引用PEM证书的东西都会失败System.Security.Authentication.AuthenticationException: The remote certificate is invalid according to the validation procedure.

AWS 开发人员指南建议使用P7B可从此处下载的证书:https ://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.p7b

这对我们有用。

在 Kubernetes 和 Windows 上,我们需要添加rds-combined-ca-bundlee.p7b到本地信任存储,如AWS C# 示例所示,并且不要在连接字符串中引用它。

P7B在 Mac 上,由于该access denied问题,我一直在努力以编程方式将证书添加到 Keystore。如果我设法解决它,将更新答案。


最后值得一提的是,Kenny Dickie 提供的答案基本上关闭了证书验证并使设置不安全。这行代码clientSettings.SslSettings.ServerCertificateValidationCallback = (sender, certificate, chain, errors) => true;总是会返回true

于 2020-10-20T16:42:07.017 回答
0

尝试将 RDS CA 文件添加到您的 C# 信任库中。

            X509Store store = new X509Store(StoreName.Root);
            X509Certificate2 ca = new X509Certificate2(<path_to_rds-combined-ca-bundle.pem>);
            try {
                store.Open(OpenFlags.ReadWrite);
                store.Add(ca);
            } catch (Exception ex) {
                Console.WriteLine("Root certificate import failed: " + ex.Message);
                throw;
            } finally {
                store.Close();
            }
于 2019-02-25T08:29:29.297 回答