数据库配置tls的几个坑点
目录
- 用docker安装的redis,配置tls时,许多网上相关的内容都是讲的生成证书和改redis配置文件的tls部分,但是没讲如果docker安装在wsl2,还要修改redis配置文件的bind为0.0.0.0。
- mongodb不支持tls1.3。
- mongodb和redis默认在启用tls时启用客户端证书验证,意味着默认只配置服务端证书验证还不能用tls连接mongodb和redis。
- 一些网上讲用openssl自建ca签发tls证书的内容没有讲到证书SAN信息要包含服务端的域名或IP,不包含的话服务端使用这样的证书,客户端连接时会产生这样的错误Hostname/IP does not match certificate’s altnames: IP: 127.0.0.1 is not in the cert’s list: