Overview
En esta guía, puedes aprender cómo utilizar el TLS protocolo de seguridad al conectarse a MongoDB usando el controlador Kotlin Sync.
Habilitar TLS
Puedes habilitar TLS en una conexión a tu instancia de MongoDB de las siguientes maneras:
Configurando el
tlsparámetro en tu cadena de conexiónUsar el método
enabled()de la claseSslSettings.Builderal crear una instancia deMongoClientSettings
Nota
El protocolo de lista de semillas DNS habilita TLS
Si se conecta utilizando el protocolo de lista de nodos iniciales de DNS, indicado por el prefijo mongodb+srv en su cadena de conexión, el controlador habilita automáticamente TLS.
Para aprender más sobre el comportamiento de conexión cuando se usa una lista de nodos iniciales de DNS, consulta la sección Formato de conexión SRV de la guía Cadenas de conexión en el manual del servidor.
Para habilitar TLS en una conexión mediante una cadena de conexión, configure la opción tls a true en el parámetro de opciones y pase la string a MongoClient.create(), como se muestra en el siguiente código:
val mongoClient = MongoClient.create("mongodb+srv://<db_username>:<db_password>@<cluster_url>/?tls=true")
Para habilitar TLS en una instancia MongoClientSettings, utilice el método de compilación applyToSslSettings(). Establezca la propiedad enabled en true en el bloque SslSettings.Builder, como se muestra en el siguiente código:
val settings = MongoClientSettings.builder() .applyConnectionString(ConnectionString("<connection string URI>")) .applyToSslSettings { builder -> builder.enabled(true) } .build() val mongoClient = MongoClient.create(settings)
Nota
Depuración TLS
Si tiene problemas al configurar su conexión TLS, puede usar la -Djavax.net.debug=all propiedad del sistema para consultar las instrucciones de registro. Consulte "Depuración de conexiones SSL/TLS" en la documentación del lenguaje Java para obtener más información.
Configurar certificados
Las aplicaciones Kotlin que inician solicitudes TLS requieren acceso a certificados criptográficos que prueban la identidad de la aplicación y verifican otras aplicaciones con las que interactúa. Puede configurar el acceso a estos certificados en su aplicación de las siguientes maneras:
Uso de un almacén de confianza JVM y un almacén de claves JVM
Uso de un almacén de confianza específico para el cliente y un almacén de claves
Configurar el almacén de confianza de JVM
Nota
Por defecto, el JRE incluye muchos certificados públicos de uso común de autoridades de firma como Let's Encrypt. Como resultado, puedes habilitar TLS cuando te conectas a una instancia de MongoDB Atlas, o a cualquier otro servidor cuyo certificado esté firmado por una autoridad en el almacén de certificados por defecto del JRE, con TLS habilitado sin necesidad de configurar el almacén de confianza.
El almacén de confianza de la JVM guarda certificados que identifican de forma segura otras aplicaciones con las que interactúa su aplicación Kotlin. Al usar estos certificados, su aplicación puede demostrar que la conexión con otra aplicación es genuina y segura contra manipulaciones externas.
Si tu instancia de MongoDB utiliza un certificado firmado por una autoridad que no está presente en el almacenes de certificados por defecto del JRE, tu aplicación debe configurar las siguientes propiedades del sistema para iniciar solicitudes TLS.
javax.net.ssl.trustStore: Ruta a un almacén de confianza que contenga los certificados TLS del clientejavax.net.ssl.trustStorePasswordContraseña para acceder al almacén de confianza definido enjavax.net.ssl.trustStore
Estas propiedades garantizan que su aplicación pueda validar el certificado TLS presentado por una instancia de MongoDB conectada.
Puede crear un almacén de confianza utilizando la herramienta de línea de comandos keytool de JDK, como se muestra en el siguiente comando de terminal:
keytool -importcert -trustcacerts -file <path to certificate authority file> -keystore <path to trust store> -storepass <password>
Configura el almacén de claves JVM
Nota
Por defecto, las instancias de MongoDB no realizan la validación del certificado de cliente. Debe configurar el almacén de claves si configuró su instancia de MongoDB para validar los certificados de cliente.
Una aplicación que inicia solicitudes TLS debe configurar las siguientes propiedades del sistema JVM para garantizar que el cliente presente un certificado TLS al servidor MongoDB:
javax.net.ssl.keyStoreRuta a un almacén de llaves que contiene los certificados TLS/SSL del clientejavax.net.ssl.keyStorePassword: Contraseña para acceder al almacén de claves definido enjavax.net.ssl.keyStore
Puede crear un almacén de claves utilizando la keytool o la herramienta de línea de comandos de openssl.
Para obtener más información sobre cómo configurar una aplicación Kotlin para usar TLS, consulta la Guía de referencia de JSSE en la documentación del lenguaje Java.
Configurar un almacén de confianza y un almacén de claves específicos del cliente
Puede configurar un almacén de confianza y un almacén de claves específicos del cliente mediante el método init() de la clase SSLContext.
Encuentra un ejemplo que muestre cómo configurar un cliente para usar una instancia de SSLContext en la sección Personalizar la configuración de TLS a través de Java SE SSLContext de esta guía.
Deshabilitar la verificación del nombre de host
De forma predeterminada, el controlador garantiza que el nombre de host incluido en los certificados TLS del servidor coincida con los nombres de host proporcionados al construir un MongoClient. Para deshabilitar la verificación del nombre de host en su aplicación, configure la propiedad invalidHostNameAllowed del constructor como true en el bloque applytoSslSettings():
val settings = MongoClientSettings.builder() .applyConnectionString(ConnectionString("<connection string URI>")) .applyToSslSettings { builder -> builder.enabled(true) builder.invalidHostNameAllowed(true) } .build() val mongoClient = MongoClient.create(settings);
Advertencia
Deshabilitar la verificación del nombre de host hace que su aplicación sea insegura y potencialmente vulnerable a certificados vencidos y procesos externos que se hacen pasar por instancias de cliente válidas.
Restringir las conexiones a TLS 1.2 Solamente
Para restringir su aplicación a utilizar únicamente el protocolo TLS 1.2, configure la propiedad del sistema jdk.tls.client.protocols en "TLSv1.2".
Nota
Las Entornos de Ejecución de Java (JRE) previos a Java 8 solo activaban el protocolo TLS 1.2 en las versiones de actualizar. Si tu JRE no ha activado el protocolo TLS 1.2, actualiza a una versión más reciente para conectarte utilizando TLS 1.2.
Personalizar la configuración TLS a través del Java SE SSLContext
Si tu configuración de TLS requiere personalización, puedes configurar la propiedad sslContext de tu MongoClient pasando un objeto SSLContext al generador de métodos context() en el bloque applyToSslSettings():
val sslContext = SSLContext.getDefault() val settings = MongoClientSettings.builder() .applyToSslSettings { builder -> builder.enabled(true) builder.context(sslContext) } .build() val mongoClient = MongoClient.create(settings);
Para obtener más información sobre la clase SSLContext, consulta la documentación de la API para Contexto SSL.
Online Certificate Status protocolo (OCSP)
OCSP es un estándar utilizado para comprobar si los certificados X.509 han sido revocados. Una autoridad de certificación puede agregar un certificado X.509 a la Lista de revocación de certificados (CRL) antes del tiempo de expiración para invalidar el certificado. Cuando un cliente envía un certificado X.509 durante el handshake TLS, el servidor de revocación de la CA consulta la CRL y devuelve un estado de good, revoked o unknown.
El controlador admite las siguientes variaciones de OCSP:
OCSP impulsado por el cliente
OCSP incorporar
Las siguientes secciones describen las diferencias entre ellas y cómo habilitarlas para su aplicación.
Nota
El controlador Sync de Kotlin utiliza los argumentos de JVM configurados para la aplicación y no se pueden sobrescribir para una instancia específica de MongoClient.
OCSP impulsado por el cliente
En el OCSP impulsado por el cliente, el cliente envía el certificado en una solicitud OCSP a un respondedor OCSP después de recibir el certificado del servidor. El respondedOR OCSP verifica el estado del certificado con una autoridad certificadora (CA) y reporta si es válido en una respuesta enviada al cliente.
Para habilitar OCSP controlado por el cliente para su aplicación, configure las siguientes propiedades del sistema JVM:
Propiedad | Valor |
|---|---|
| Establezca esta propiedad en |
| Establezca esta propiedad en |
Advertencia
Si el respondedor OCSP no está disponible, la compatibilidad con TLS del JDK informa un fallo grave. Esto difiere del comportamiento de fallo leve de MongoDB Shell y otros controladores.
OCSP incorporar
El grapado OCSP es un mecanismo en el cual el servidor debe obtener el certificado firmado de la autoridad de certificación (CA) e incluirlo en una respuesta OCSP con marca de tiempo al cliente.
Para activar el OCSP incorporar para su aplicación, establezca las siguientes propiedades del sistema JVM:
Propiedad | Descripción |
|---|---|
| Establezca esta propiedad en |
| Set this property to true to enable OCSP stapling.If unset or set to false, the connection can proceed regardless of the presence or status of the certificate revocation response. |
Para obtener más información sobre OCSP, consulta los siguientes recursos:
Oracle JDK 8 Documentación en cómo habilitar OCSP para una aplicación
Documentación de la API
Para obtener más información sobre cualquiera de los métodos o tipos discutidos en esta guía, consulta la siguiente documentación de la API: