Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
X.509
Docs Home
/
Manual de MongoDB
/
Seguridad
/
X.509
Docs Home
/
Manual de MongoDB
/
Seguridad
/
X.509

Usa los certificados x.509 para autenticar clientes en implementaciones autogestionadas

El siguiente procedimiento configura la autenticación del certificado x.509 para la autenticación del cliente en un servidor independiente. mongod instancia. Esto también se conoce como TLS Mutuo o mTLS.

Para usar x.509 autenticación para sets de réplicas o clústeres, consulta Usar el certificado x.509 para autenticación de membresía con MongoDB autogestionado.

Requisitos previos

Una descripción completa de TLS/SSL, certificados PKI (Infraestructura de llave pública), en particular certificados x.509, y Autoridad Certificadora está más allá del alcance de este documento. Este tutorial asume conocimiento previo de TLS/SSL, así como acceso a certificados x.509 válidos.

Autoridad de Certificación

Para uso en producción, la implementación de MongoDB debe utilizar certificados válidos generados y firmados por una autoridad certificadora. El usuario o la organización pueden generar y mantener una autoridad de certificación independiente, o utilizar certificados generados por proveedores de TLS de terceros. La obtención y gestión de certificados está fuera del alcance de esta documentación.

Para utilizar la autenticación x.509, se debe especificar --tlsCAFile o net.tls.CAFile a menos que se utilice --tlsCertificateSelector o --net.tls.certificateSelector.

Certificado x.509 del cliente

Debe tener certificados x.509 válidos. Los certificados x.509 del cliente deben cumplir con los requisitos de certificado del cliente.

Si especifica --tlsAllowInvalidCertificates net.tls.allowInvalidCertificates: trueo, un certificado no válido solo es suficiente para establecer una conexión TLS, pero no es suficiente para la autenticación.

Procedimiento

1

Implemente con autenticación x.509

Puede configurar una instancia para la autenticación x.509 desde la línea de mongod comandos.

Para configurar una instancia independiente, ejecute el siguiente mongod comando:

mongod --tlsMode requireTLS \
    --tlsCertificateKeyFile <path to TLS/SSL certificate and key PEM file> \
    --tlsCAFile <path to root CA PEM file> --bind_ip <hostnames>

Incluye opciones adicionales según sea necesario para la configuración.

La configuración x.509 requiere:

Opción
notas

--tlsMode

Especifique requireTLS.

--tlsCertificateKeyFile

Especifica el certificado x.509 de la instancia para presentarlo a los clientes.

--tlsCAFile

Especifica el archivo de Autoridad de Certificación para verificar los certificados presentados a la instancia.

Puede configurar un mongod para509 la autenticación x. en el archivo de configuración.

Para configurar una mongod instancia independiente, agregue las siguientes opciones de configuración a su archivo de configuración:

net:
   tls:
      mode: requireTLS
      certificateKeyFile: <path to TLS/SSL certificate and key PEM file>
      CAFile: <path to root CA PEM file>

Incluye opciones adicionales según sea necesario para la configuración.

La configuración x.509 requiere:

Opción
notas

net.tls.mode

Especifique requireTLS.

net.tls.certificateKeyFile

Especifica el certificado x.509 de la instancia para presentarlo a los clientes.

net.tls.CAFile

Especifica el archivo de Autoridad de Certificación para verificar los certificados presentados a la instancia.

Para configurar la509 autenticación x. para conjuntos de réplicas o clústeres fragmentados, consulte Usar509 el certificado x. para la autenticación de membresía con MongoDB autoadministrado.

2

Agregar x.509 Certificado subject como Usuario

Para autenticarse con un certificado de cliente, primero debe añadir el valor del subject del certificado de cliente como usuario de MongoDB a la base de datos $external. Cada certificado de cliente x.509 único corresponde a un único usuario de MongoDB. No se puede utilizar un solo certificado de cliente para autenticar a más de un usuario de MongoDB.

Nota

Requisitos del nombre de usuario

  1. Puede recuperar el RFC2253 formateado subject del certificado del cliente con el siguiente comando:

    openssl x509 -in <pathToClientPEM> -inform PEM -subject -nameopt RFC2253

    El comando devuelve la cadena subject y el certificado:

    subject= CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry
    -----BEGIN CERTIFICATE-----
    # ...
    -----END CERTIFICATE-----

  2. Añade el valor compatible con RFC2253 del subject como usuario. Omite los espacios según sea necesario.

    El siguiente ejemplo agrega un usuario y le otorga el rol en readWrite la test base de datos y el userAdminAnyDatabase rol:

    db.getSiblingDB("$external").runCommand(
      {
        createUser: "CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry",
        roles: [
             { role: "readWrite", db: "test" },
             { role: "userAdminAnyDatabase", db: "admin" }
        ],
        writeConcern: { w: "majority" , wtimeout: 5000 }
      }
    )

    Consulte Administrar usuarios y roles en implementaciones autoadministradas para obtener detalles sobre cómo agregar un usuario con roles.

3

Autentíquese con un Certificado x.509

Después de haber agregado el509 sujeto del certificado de cliente x. como usuario MongoDB correspondiente, puede autenticarse con el certificado de cliente:

Para autenticarse durante la conexión, ejecute el siguiente comando:

mongosh --tls --tlsCertificateKeyFile <path to client PEM file> \
    --tlsCAFile <path to root CA PEM file> \
    --authenticationDatabase '$external' \
    --authenticationMechanism MONGODB-X509
Opción
notas

--tls

--tlsCertificateKeyFile

Especifica el archivo x.509 del cliente.

--tlsCAFile

Especifique el archivo de autoridad de certificación para verificar el certificado presentado por la mongod instancia.

--authenticationDatabase

Especifique '$external'.

--authenticationMechanism

Especifique MONGODB-X509.

Puedes conectarte sin autenticación y usar el método db.auth() para autenticarte después de la conexión.

Por ejemplo, si se usa mongosh,

  1. Conecta mongosh a mongod:

    mongosh --tls --tlsCertificateKeyFile <path to client PEM file> \
        --tlsCAFile <path to root CA PEM file>
    Opción
    notas

    --tls

    --tlsCertificateKeyFile

    Especifica el archivo x.509 del cliente.

    --tlsCAFile

    Especifique el archivo de autoridad de certificación para verificar el certificado presentado por la instancia mongod mongos o.

  2. Para autenticarse, usa el método db.auth() en la base de datos $external. En el campo mechanism, especifica "MONGODB-X509".

    db.getSiblingDB("$external").auth(
      {
        mechanism: "MONGODB-X509"
      }
    )

Próximos pasos

Para usar x.509 autenticación para sets de réplicas o clústeres, consulta Usar el certificado x.509 para autenticación de membresía con MongoDB autogestionado.

Volver

X.509

Next

TLS/SSL

En esta página