Obtenga certificados de servidor para habilitar Cifrado TLS para las implementaciones de conjuntos de réplicas de MongoDB autogestionadas.
Importante
Estos pasos se aplican a las implementaciones de MongoDB autogestionadas. Los clústeres de MongoDB Atlas utilizan TLS de forma predeterminada. Si utiliza Cloud Manager u Ops Manager, configure TLS a través de su herramienta de gestión de implementaciones.
Antes de comenzar
Antes de comenzar, asegúrese de tener la siguiente información y recursos:
Tienes una implementación de conjunto de réplicas de MongoDB autogestionada que deseas proteger con TLS.
Tiene al menos un usuario administrador habilitado en su implementación para verificar las conexiones TLS en tutoriales posteriores. Si desea habilitar la autenticación de cliente X.509, el usuario administrador debe tener al menos el
userAdminrol para crear y modificar usuarios en la$externalbase de datos.Cada nodo de su implementación tiene un nombre de host,
mongo0.example.comcomo,mongo1.example.commongo2.example.comy. Si utiliza una CA pública, debe tener un nombre de dominio registrado que corresponda a estos nombres de host.Tienes OpenSSL instalado en su máquina.
Si planea usar una CA pública, como Let's Encrypt o DigiCert, sabrá qué CA pública está utilizando. Si planea usar una CA privada, tendrá acceso a la información PKI de su organización. El proceso para obtener certificados puede variar según la CA que utilice. Sin embargo, debe obtener los mismos
.pemarchivos descritos en la sección de resultados finales de este tutorial.Tienes abierta tu interfaz de línea de comandos preferida.
Usted conoce los requisitos de configuración TLS de su implementación y si sus certificados necesitan
clientAuthEKU según la página de Planificación de TLS.
Pasos
Este tutorial crea un certificado llamado mongo0.pem para el primer nodo de su implementación. Al generar certificados para nodos adicionales, sea específico en los nombres de los archivos. Por ejemplo, nombre el certificado para su primer nodo secundario como mongo1.pem.
Resultado final
Al final de este tutorial, tendrá los siguientes .pem archivos en /etc/ssl/mongodb:
Para cada nodo, tienes un
.pemarchivo que contiene el certificado y la clave privada para ese nodo,mongo0.pemcomo,mongo1.pemmongo2.pemy.Para el despliegue general, tienes el certificado CA intermedio que emitió los certificados para cada nodo, como
ca.pem.
Próximos pasos
Para aprender a configurar TLS para su implementación autogestionada de MongoDB, continúe con el siguiente tutorial: Configurar TLS para una implementación autogestionada.