Overview
En esta guía, aprenderá a usar el protocolo TLS para proteger su conexión a una implementación de MongoDB. TLS es un protocolo criptográfico que protege la comunicación entre su aplicación y MongoDB. Para configurar su conexión con TLS, habilite la opción TLS y proporcione sus certificados para su validación al crear un cliente.
De forma predeterminada, el controlador admite conexiones TLS/SSL a servidores MongoDB mediante la compatibilidad subyacente con TLS/SSL proporcionada por el JDK. Esto se puede cambiar mediante el comando API de Netty o la extensibilidad de la API de Java SE.
Tip
Prefiera Netty para aplicaciones asincrónicas
Recomendamos utilizar Netty para aplicaciones asíncronas porque admite E/S asíncrona y gestiona eficazmente un gran volumen de conexiones. Para aprender a usar Netty para configurar tus ajustes de TLS, consulta la sección Configuración de TLS/SSL usando Netty SslContext de esta guía.
Habilitar TLS/SSL
Puede habilitar TLS/SSL para la conexión a su instancia de MongoDB de dos maneras diferentes: a través de un parámetro en su cadena de conexión o usando un método en la MongoClientSettings.Builder clase.
Nota
El protocolo de lista de semillas DNS habilita TLS
Si te conectas mediante el protocolo DNS lista de nodos iniciales, indicado por el prefijo mongodb+srv en tu cadena de conexión, el driver habilita automáticamente TLS/SSL. Para deshabilitarlo, establece el valor del parámetro tls en false en tu cadena de conexión, o establece la propiedad enabled en false en el bloque SslSettings.Builder al crear una instancia de MongoClientSettings.
Para obtener más información sobre el comportamiento de la conexión cuando utiliza una lista de semillas DNS, consulte la sección Formato de conexión SRV en el manual del servidor.
Para activar TLS/SSL en una conexión con un ConnectionString, asigne al parámetro de cadena de conexión tls un valor de true en la cadena de conexión pasada a MongoClient.create():
val mongoClient = MongoClient.create("mongodb+srv://<db_username>:<db_password>@<cluster-url>?tls=true")
Para configurar las MongoClient opciones de conexión TLS/SSL de su mediante la MongoClientSettings.Builder clase, llame al método applyToSslSettings(). Establezca la enabled propiedad en true en el SslSettings.Builder bloque para habilitar TLS/SSL:
val settings = MongoClientSettings.builder() .applyConnectionString(ConnectionString("<connection string>")) .applyToSslSettings { builder -> builder.enabled(true) } .build() val mongoClient = MongoClient.create(settings)
Nota
Depuración de TLS/SSL
Si tiene problemas al configurar su conexión TLS/SSL, puede usar la -Djavax.net.debug=all propiedad del sistema para ver más instrucciones de registro.Consulte la guía de Oracle para depurar conexiones TLS/SSL para obtener más información.
Configurar certificados
Las aplicaciones Kotlin que inician solicitudes TLS/SSL requieren acceso a certificados criptográficos que acreditan la identidad de la propia aplicación y de otras aplicaciones con las que interactúa. Puede configurar el acceso a estos certificados en su aplicación mediante los siguientes mecanismos:
El almacén de confianza de JVM y el almacén de claves de JVM
Un almacén de confianza y un almacén de claves específicos del cliente
Nota
Las siguientes secciones se basan en la documentación de Oracle JDK, por lo que algunas partes pueden no ser aplicables a su JDK o a la implementación de TLS/SSL personalizada que utilice.
Configurar el almacén de confianza de JVM
Nota
De forma predeterminada, el JRE incluye muchos certificados públicos de uso común de autoridades de firma como Let's Encrypt. Como resultado, puede conectarse a instancias de MongoDB Atlas (o a cualquier otro servidor cuyo certificado esté firmado por una autoridad del almacén de certificados predeterminado del JRE) con TLS/SSL sin configurar el almacén de confianza.
El almacén de confianza de la JVM guarda certificados que identifican de forma segura otras aplicaciones con las que interactúa su aplicación Kotlin. Con estos certificados, su aplicación puede demostrar que la conexión con otra aplicación es genuina y segura contra manipulaciones externas.
Si su instancia de MongoDB utiliza un certificado firmado por una autoridad que no está presente en el almacén de certificados predeterminado de JRE, su aplicación debe configurar dos propiedades del sistema para iniciar solicitudes SSL/TLS. Estas propiedades garantizan que su aplicación pueda validar el certificado TLS/SSL presentado por una instancia de MongoDB conectada.
javax.net.ssl.trustStore: la ruta a un almacén de confianza que contiene el certificado de la autoridad firmantejavax.net.ssl.trustStorePassword:la contraseña para acceder al almacén de confianza definido enjavax.net.ssl.trustStore
Puede crear un almacén de confianza con la herramienta de línea de comandos keytool proporcionada como parte del JDK:
keytool -importcert -trustcacerts -file <path to certificate authority file> -keystore <path to trust store> -storepass <password>
Configurar el almacén de claves de JVM
Nota
De forma predeterminada, las instancias de MongoDB no validan los certificados de cliente. Debe configurar el almacén de claves si configuró su instancia de MongoDB para validar certificados de cliente.
El almacén de claves de la JVM guarda certificados que identifican de forma segura su aplicación Kotlin ante otras aplicaciones. Con estos certificados, otras aplicaciones pueden demostrar que la conexión con su aplicación es genuina y segura contra manipulaciones externas.
Una aplicación que inicia solicitudes TLS/SSL necesita configurar dos propiedades del sistema JVM para garantizar que el cliente presente un certificado TLS/SSL al servidor MongoDB:
javax.net.ssl.keyStore: la ruta a un almacén de claves que contiene los certificados TLS/SSL del clientejavax.net.ssl.keyStorePassword:la contraseña para acceder al almacén de claves definido enjavax.net.ssl.keyStore
Puede crear un almacén de claves con la herramienta de línea de comandos keytool o openssl.
Para obtener más información sobre cómo configurar una aplicación Kotlin para usar TLS/SSL, consulte la Guía de referencia JSSE.
Configurar un almacén de confianza y un almacén de claves específicos del cliente
Puede configurar un almacén de confianza y un almacén de claves específicos del cliente utilizando el método init() de la clase SSLContext.
Puede encontrar un ejemplo que muestra cómo configurar un cliente con una SSLContext instancia en la sección Personalizar la configuración TLS/SSL con un SSLContext de esta guía.
Para obtener más información sobre la SSLContext clase, consulte la documentación de la API para el contexto SSL.
Deshabilitar la verificación del nombre de host
Por defecto, el driver asegura que el nombre de host incluido en los certificados TLS/SSL del servidor coincida con los nombres de host proporcionados al construir un MongoClient. Para deshabilitar la verificación del nombre de host en su aplicación, puede desactivarla explícitamente configurando la propiedad invalidHostNameAllowed del builder como true en el lambda builder applytoSslSettings():
val settings = MongoClientSettings.builder() .applyConnectionString(ConnectionString("<connection string>")) .applyToSslSettings { builder -> builder.enabled(true) builder.invalidHostNameAllowed(true) } .build() val mongoClient = MongoClient.create(settings);
Restringir conexiones solo a TLS 1.2
Para restringir su aplicación a utilizar únicamente el protocolo TLS 1.2, configure la propiedad del sistema jdk.tls.client.protocols en "TLSv1.2".
Nota
Los entornos de ejecución de Java (JRE) anteriores 8 a Java solo habilitaban el 1.2 protocolo TLS en versiones de actualización. Si su JRE no lo tiene 1.2 habilitado, actualice a una versión posterior para conectarse mediante TLS.1.2
Configurar TLS/SSL mediante Netty SslContext
Incluya las siguientes declaraciones de importación:
import com.mongodb.MongoClientSettings import com.mongodb.connection.SslSettings import com.mongodb.connection.TransportSettings import com.mongodb.kotlin.client.coroutine.MongoClient import io.netty.handler.ssl.SslContextBuilder import io.netty.handler.ssl.SslProvider
Nota
Versión del paquete Netty
El controlador prueba la versión del paquete Netty io.netty:netty-all:4.1.87.Final
Para indicarle al controlador que utilice io.netty.handler.ssl.SslContext, configure NettyTransportSettings cuando defina MongoClientSettings su.
Utilice MongoClientSettings.Builder.transportSettings() y NettyTransportSettings.Builder.sslContext() para crear su configuración:
val sslContext = SslContextBuilder.forClient() .sslProvider(SslProvider.OPENSSL) .build() val settings = MongoClientSettings.builder() .applyToSslSettings { builder: SslSettings.Builder -> builder.enabled(true) } .transportSettings( TransportSettings.nettyBuilder() .sslContext(sslContext) .build() ) .build() val mongoClient = MongoClient.create(settings);
Personalice la configuración de TLS/SSL a través de Java SE SSLContext
Si su configuración TLS/SSL requiere personalización, puede establecer la sslContext propiedad de su MongoClient pasando un objeto SSLContext al generador en la applyToSslSettings() lambda:
// You can customize SSL settings using the SSLContext val sslContext = SSLContext.getDefault() val settings = MongoClientSettings.builder() .applyToSslSettings { builder -> builder.enabled(true) builder.context(sslContext) } .build() val mongoClient = MongoClient.create(settings);
Protocolo de estado de certificado en línea (OCSP)
OCSP es un estándar utilizado para comprobar si los certificados X.509 han sido revocados. Una autoridad de certificación puede añadir un certificado X.509 a la Lista de Revocación de Certificados (CRL) antes de su fecha de caducidad para invalidarlo. Cuando un cliente envía un certificado X.509 durante el protocolo de enlace TLS, el servidor de revocación de la CA comprueba la CRL y devuelve un estado "correcto", "revocado" o "desconocido".
El controlador admite las siguientes variaciones de OCSP:
OCSP impulsado por el cliente
Grapado OCSP
Las siguientes secciones describen las diferencias entre ellos y cómo habilitarlos para su aplicación.
Nota
El controlador de Kotlin utiliza los argumentos JVM configurados para la aplicación y no pueden ser sobrescritos para una instancia específica de MongoClient.
OCSP impulsado por el cliente
En OCSP basado en el cliente, el cliente envía el certificado en una solicitud OCSP a un respondedor OCSP tras recibirlo del servidor. El respondedor OCSP comprueba el estado del certificado con una autoridad de certificación (CA) e informa de su validez en una respuesta enviada al cliente.
Para habilitar OCSP controlado por el cliente para su aplicación, configure las siguientes propiedades del sistema JVM:
Propiedad | Valor |
|---|---|
| Establezca esta propiedad en |
| Establezca esta propiedad en |
Advertencia
Si el respondedor OCSP no está disponible, la compatibilidad con TLS del JDK informa un fallo grave. Esto difiere del comportamiento de fallo leve de MongoDB Shell y otros controladores.
Grapado OCSP
El grapado OCSP es un mecanismo en el cual el servidor debe obtener el certificado firmado de la autoridad de certificación (CA) e incluirlo en una respuesta OCSP con marca de tiempo al cliente.
Para habilitar el grapado OCSP para su aplicación, configure las siguientes propiedades del sistema JVM:
Propiedad | Descripción |
|---|---|
| Establezca esta propiedad en |
| Set this property to true to enable OCSP stapling.If unset or set to false, the connection can proceed regardless of the presence or status of the certificate revocation response. |
Para obtener más información sobre OCSP, consulte los siguientes recursos:
Documentación de Oracle JDK 8 sobre cómo habilitar OCSP para una aplicación