我正在尝试在CentOS7上为Bolt通信启用TLS,以便设置Neo4j。服务器当前已安装为系统服务。我生成了一个自签名证书和密钥:
sudo openssl genrsa -des3 -out /var/ssl/ca.key 4096``
sudo openssl req -new -x509 -days 365 -key /var/ssl/ca.key -out /var/ssl/ca.crt
sudo openssl genrsa -des3 -out /var/ssl/neo4j/serv.key 1024``
sudo openssl req -new -key /var/ssl/neo4j/serv.key -out /var/ssl/neo4j/server.csr
sudo openssl x509 -req -days 365 -in /var/ssl/neo4j/server.csr -CA /var/ssl/ca.crt -CAkey /var/ssl/ca.key -set_serial 01 -out /var/ssl/neo4j/server.crt
sudo openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in /var/ssl/neo4j/serv.key -out /var/ssl/neo4j/server.key
接下来,我按照Neo4j的文档将server.crt文件复制到/var/ssl/trusted/neo4j,并在我的neo4j.conf中添加了以下几行:
dbms.ssl.policy.default.trusted_dir=/var/ssl/trusted/neo4j
dbms.ssl.policy.default.public_certificate=/var/ssl/neo4j/server.crt
dbms.ssl.policy.default.private_key=/var/ssl/neo4j/server.key
dbms.ssl.policy.default.base_directory=/var/ssl/neo4j/
dbms.connector.bolt.enabled=true
dbms.connector.bolt.tls_level=REQUIRED
最后,我将ca.crt文件添加到了我的系统信任证书链中:
sudo cp /var/ssl/ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust
重新启动了服务器,现在服务器已正确启动。但是,当我尝试使用Python客户端连接服务器时,出现了以下错误:
neo4j.exceptions.SecurityError: Failed to establish secure connection to '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:600)'
导致错误的Python代码:
from neo4j.v1 import GraphDatabase
from neo4j.v1 import TRUST_SYSTEM_CA_SIGNED_CERTIFICATES
uri = "bolt://localhost:7687"
driver = GraphDatabase.driver(uri, auth=("neo4j", "neo4j"), trust=TRUST_SYSTEM_CA_SIGNED_CERTIFICATES)
CA证书应该被添加到我的系统信任链中,其他应用似乎可以使用它,但是似乎Neo4j客户端无法使用它来验证从服务器返回的证书。Neo4j是否仅在HTTPS端点中使用此CA,而不是TLS端点?如果是这样,如何将Bolt端点的CA证书添加到我的系统信任链中?