Conectar sobre SSL
El controlador admite conexiones a » MongoDB sobre SSL y puede opcionalmente usar opciones Contexto de flujos de SSL para proporcionar más detalles, tales como verificar certificados con cadenas de certificado específicas, o autenticar a » MongoDB usando la certificación X509.
Ejemplo #1 Conectar a una instancia de MongoDB con encriptación SSL
<?php
$mc = new MongoClient("mongodb://server1", array("ssl" => true));
?>
Ejemplo #2 Conectar a una instancia de MongoDB con encriptación SSL, verificando que es quien se espera
<?php
$SSL_DIR = "/vagrant/certs";
$SSL_FILE = "CA_Root_Certificate.pem";
$ctx = stream_context_create(array(
"ssl" => array(
/* Certificate Authority the remote server certificate must be signed by */
"cafile" => $SSL_DIR . "/" . $SSL_FILE,
/* Disable self signed certificates */
"allow_self_signed" => false,
/* Verify the peer certificate against our provided Certificate Authority root certificate */
"verify_peer" => true, /* Default to false pre PHP 5.6 */
/* Verify the peer name (e.g. hostname validation) */
/* Will use the hostname used to connec to the node */
"verify_peer_name" => true,
/* Verify the server certificate has not expired */
"verify_expiry" => true, /* Only available in the MongoDB PHP Driver */
),
);
$mc = new MongoClient(
"mongodb://server1",
array("ssl" => true),
array("context" => $ctx)
);
?>
Nota:
"verify_peer_name" es nuevo en PHP 5.6.0. Sin embargo, el controlador de MongoDB, a partir de la versión 1.6.5, ha hecho retrocompatible esta característica incluyéndola en el mismo controlador, por lo que funciona con PHP 5.3 y 5.4 también.
Ejemplo #3 Conectar a una instancia de MongoDB que requiera certificados cliente
<?php
$SSL_DIR = "/vagrant/certs";
$SSL_FILE = "CA_Root_Certificate.pem";
$MYCERT = "/vagrant/certs/ca-signed-client.pem";
$ctx = stream_context_create(array(
"ssl" => array(
"local_cert" => $MYCERT,
/* If the certificate we are providing was passphrase encoded, we need to set it here */
"passphrase" => "My Passphrase for the local_cert",
/* Optionally verify the server is who he says he is */
"cafile" => $SSL_DIR . "/" . $SSL_FILE,
"allow_self_signed" => false,
"verify_peer" => true,
"verify_peer_name" => true,
"verify_expiry" => true,
),
));
$mc = new MongoClient(
"mongodb://server1/?ssl=true",
array(),
array("context" => $ctx)
);
?>
Ejemplo #4 Autenticación con certificados X.509
El nombre de usuario es el sujeto del certificado de X509, el cual puede extraerse así:
openssl x509 -in /vagrant/certs/ca-signed-client.pem -inform PEM -subject -nameopt RFC2253
<?php
$ctx = stream_context_create( array(
"ssl" => array(
"local_cert" => "/vagrant/certs/ca-signed-client.pem",
)
) );
$mc = new MongoClient(
'mongodb://username@server1/?authSource=$external&authMechanism=MONGODB-X509&ssl=true',
array(),
array("context" => $ctx)
);
?>
Donde username es el sujeto del certificado.
Historial de cambios
| Versión | Descripción |
|---|---|
| 1.5.0 | Se añadió soporte para autenticación X509. |
| 1.4.0 | Se añadió soporte para conectar con MongoDB habilitado para SSL. |
add a note
