修补 mongodump 4.2+ 中的 SSL 证书处理 (go lang)

本篇文章向大家介绍《修补 mongodump 4.2+ 中的 SSL 证书处理 (go lang)》，主要包括，具有一定的参考价值，需要的朋友可以参考一下。

我希望将我的 mongo 数据库从版本 4 升级到版本 5。我使用 mongo 的 ssl 配置来确保与数据库的通信是加密的。为了备份数据库，我使用 mongodump。

在 mongo 4.2 中，mongodump 被用 go lang 重写，导致它导入了围绕 ssl 证书处理的常见 go 错误。具体来说，具有中间证书的 pem 文件未完全加载。该错误不会影响 mongo 服务器或客户端本身、任何版本或任何其他应用程序。仅 mongodump 受到影响。

该错误的描述如下：https://jira.mongodb.org/browse/tools-2598

由于工具的 ssl/tls 代码是从 go 驱动程序复制的，当前的实现仅解析 pem 文件中的最后一个证书

这与 mongoshell 行为存在差异，mongoshell 只加载 pem 文件中的第一个证书。

在此相关交流中：https://jira.mongodb.org/browse/tools-2996 我看不到解决方案。我已经尝试了传递给 mongodump 的参数中密钥和证书的每种排列。

我一直在查看 mongodump 的源代码，特别是 ssl 加载代码。

为了帮助 go 开发，我创建了这个 dockerfile 来立即提供用于构建此代码的工作环境，但我不熟悉 go 作为一种语言。

FROM centos:8
RUN yum -y update
RUN yum -y install git-core vim-enhanced golang krb5-devel krb5-libs snappy
RUN groupadd -r app -g 1000 && \
    useradd -r -g app -u 1000 app -d /app && \
    mkdir -p /app && \
    chown -R app:app /app
USER 1000
WORKDIR /app
ENTRYPOINT /bin/bash

修复此代码库中的这些 pem 加载错误的可能性有多大？我的 mongo 庄园有很多客户，因此轮换证书来解决这个问题涉及高度的规划和停机时间。修补 mongodump 以接受现有证书感觉像是一个可以接受的中期权衡。

有谁能够帮助我编写适当的补丁，也许开发人员现在使用标准的 ssl 代码？有人对我如何推动此事有任何想法吗？ （补丁是理想的选择！）

我提前表示歉意，由于我想要测试的证书的创建方式很复杂，因此我这里没有可重现的测试用例。

正确答案

我编写的这个补丁（基于 godriver-1753 被拒绝的 git pull 请求）解决了这些问题。

https://jira.mongodb.org/browse/GODRIVER-1753

https://github.com/mongodb/mongo-go-driver/pull/521/files

它还修复了 asn1 尾随数据问题。

diff --git a/README.md b/README.md
index 20f3ffe8..4b3bed1a 100644
--- a/README.md
 b/README.md
@@ -1,3 +1,13 @@
+
+** PATCHED MONGO-TOOLS **
+
+In Mongo 4.2, the mongo team rewrote many of their core tools in Go.
+
+This introduced a bug with the way that PEM files are handled.
+Faced with downtime and complexity in a large Mongo estate, this
+patched version of mongo resolves the issues.
+
+
 MongoDB Tools
 ===================================
 
diff --git a/common/db/db.go b/common/db/db.go
index 3e78abab..9290bb31 100644
--- a/common/db/db.go
 b/common/db/db.go
@@ -186,9 +186,13 @@ func addClientCertFromBytes(cfg *tls.Config, data []byte, keyPasswd string) (str
                }
 
                if currentBlock.Type == "CERTIFICATE" {
-           certBlock = data[start : len(data)-len(remaining)]
-           certDecodedBlock = currentBlock.Bytes
-           start += len(certBlock)
+           tempCertBlock := data[start : len(data)-len(remaining)]
+           certBlock = append(certBlock, tempCertBlock...) //To handle usecase where multiple certs are present
+
+           tempCertEncodedBlock := currentBlock.Bytes
+           certDecodedBlock = append(certDecodedBlock, tempCertEncodedBlock...)
+
+           start += len(tempCertBlock)
                } else if strings.HasSuffix(currentBlock.Type, "PRIVATE KEY") {
                        isEncrypted := x509.IsEncryptedPEMBlock(currentBlock) || strings.Contains(currentBlock.Type, "ENCRYPTED PRIVATE KEY")
                        if isEncrypted {
@@ -244,12 +248,17 @@ func addClientCertFromBytes(cfg *tls.Config, data []byte, keyPasswd string) (str
 
        // The documentation for the tls.X509KeyPair indicates that the Leaf certificate is not
        // retained.
-   crt, err := x509.ParseCertificate(certDecodedBlock)
-   if err != nil {
-       return "", err
-   }
-
-   return crt.Subject.String(), nil
+        l := len(certDecodedBlock)
+        for {
+          crt, err := x509.ParseCertificate(certDecodedBlock[0:l])
+          if err == nil {
+            return crt.Subject.String(), nil
+          }
+          l = l - 1
+          if l == 0 {
+            return "", err
+          }
+        }
 }
 
 // create a username for x509 authentication from an x509 certificate subject.
diff --git a/vendor/go.mongodb.org/mongo-driver/mongo/options/clientoptions.go b/vendor/go.mongodb.org/mongo-driver/mongo/options/clientoptions.go
index d66114fa..2f3c6554 100644
--- a/vendor/go.mongodb.org/mongo-driver/mongo/options/clientoptions.go
 b/vendor/go.mongodb.org/mongo-driver/mongo/options/clientoptions.go
@@ -941,9 +941,13 @@ func addClientCertFromBytes(cfg *tls.Config, data []byte, keyPasswd string) (str
                }
 
                if currentBlock.Type == "CERTIFICATE" {
-           certBlock = data[start : len(data)-len(remaining)]
-           certDecodedBlock = currentBlock.Bytes
-           start += len(certBlock)
+           tempCertBlock := data[start : len(data)-len(remaining)]
+           certBlock = append(certBlock, tempCertBlock...) //To handle usecase where multiple certs are present
+
+           tempCertEncodedBlock := currentBlock.Bytes
+           certDecodedBlock = append(certDecodedBlock, tempCertEncodedBlock...)
+
+           start += len(tempCertBlock)
                } else if strings.HasSuffix(currentBlock.Type, "PRIVATE KEY") {
                        isEncrypted := x509.IsEncryptedPEMBlock(currentBlock) || strings.Contains(currentBlock.Type, "ENCRYPTED PRIVATE KEY")
                        if isEncrypted {
@@ -997,12 +1001,18 @@ func addClientCertFromBytes(cfg *tls.Config, data []byte, keyPasswd string) (str
 
        // The documentation for the tls.X509KeyPair indicates that the Leaf certificate is not
        // retained.
-   crt, err := x509.ParseCertificate(certDecodedBlock)
-   if err != nil {
-       return "", err
-   }
+        l := len(certDecodedBlock)
+        for {
+          crt, err := x509.ParseCertificate(certDecodedBlock[0:l])
+          if err == nil {
+            return crt.Subject.String(), nil
+          }
+          l = l - 1
+          if l == 0 {
+            return "", err
+          }
+        }
 
-   return x509CertSubject(crt), nil
 }
 
 func stringSliceContains(source []string, target string) bool {

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于Golang的相关知识，也可关注golang学习网公众号。