/ /

X.509

Docs Home

Manual de base de datos

Seguridad

X.509

Docs Home

Manual de base de datos

Seguridad

X.509

Utilice certificados X.509 para autenticar clientes en implementaciones autoadministradas

Esta versión de la documentación se archivó y ya no se admite. Para actualizar tu implementación de 6.0, consulta el Procedimientos de actualización de MongoDB.7.0

El siguiente procedimiento configura la autenticación de certificados X.509 para la autenticación de clientes en un sistema autónomo. mongod instancia. Esto también se conoce como TLS Mutuo o mTLS.

Para usar la autenticación X.509 en conjuntos de réplicas o clústeres particionados, consulta Usar el certificado X.509 para autenticación de membresía con MongoDB autogestionado.

Requisitos previos

Una descripción completa de TLS/SSL, los certificados PKI (Infraestructura de clave pública), en particular los certificados X.509, y la Autoridad de certificación está fuera del alcance de este documento. Este tutorial asume que se tiene un conocimiento previo de TLS/SSL y también acceso a certificados X.509 válidos.

Autoridad de Certificación

Para uso en producción, la implementación de MongoDB debe utilizar certificados válidos generados y firmados por una autoridad certificadora. El usuario o la organización pueden generar y mantener una autoridad de certificación independiente, o utilizar certificados generados por proveedores de TLS de terceros. La obtención y gestión de certificados está fuera del alcance de esta documentación.

Para utilizar la autenticación X.509, se debe especificar --tlsCAFile o net.tls.CAFile, a menos que estés utilizando --tlsCertificateSelector o --net.tls.certificateSelector.

Cliente X.509 Certificado

Debe tener certificados X.509 válidos. Los certificados X. de cliente509 deben cumplir los requisitos de certificado de cliente.

Si especifica --tlsAllowInvalidCertificates net.tls.allowInvalidCertificates: trueo, un certificado no válido solo es suficiente para establecer una conexión TLS, pero no es suficiente para la autenticación.

Procedimiento

Implemente con autenticación X.509

Puedes configurar una instancia mongod para la autenticación X.509 desde la línea de comandos.

Para configurar una instancia independiente, ejecute el siguiente mongod comando:

mongod --tlsMode requireTLS \
    --tlsCertificateKeyFile <path to TLS/SSL certificate and key PEM file> \
    --tlsCAFile <path to root CA PEM file> --bind_ip <hostnames>

Incluye opciones adicionales según sea necesario para la configuración.

La configuración de X.509 requiere:

Opción	notas
`--tlsMode`	Especifique `requireTLS`.
`--tlsCertificateKeyFile`	Especifique el certificado X.509 de la instancia que se presentará a los clientes.
`--tlsCAFile`	Especifica el archivo de Autoridad de Certificación para verificar los certificados presentados a la instancia.

Puedes configurar un mongod para la autenticación de X.509 en el archivo de configuración.

Para configurar una mongod instancia independiente, agregue las siguientes opciones de configuración a su archivo de configuración:

net:
   tls:
      mode: requireTLS
      certificateKeyFile: <path to TLS/SSL certificate and key PEM file>
      CAFile: <path to root CA PEM file>

Incluye opciones adicionales según sea necesario para la configuración.

La configuración de X.509 requiere:

Opción	notas
`net.tls.mode`	Especifique `requireTLS`.
`net.tls.certificateKeyFile`	Especifique el certificado X.509 de la instancia que se presentará a los clientes.
`net.tls.CAFile`	Especifica el archivo de Autoridad de Certificación para verificar los certificados presentados a la instancia.

Para configurar la509 autenticación X. para conjuntos de réplicas o clústeres fragmentados, consulte Usar509 el certificado X. para la autenticación de membresía con MongoDB autoadministrado.

Agregar X.509 Certificado `subject` como usuario

Para autenticarse con un certificado de cliente, primero debe agregar el valor subject del certificado de cliente como usuario de MongoDB a la base de datos $external. Cada certificado de cliente X.509 único corresponde a un único usuario de MongoDB. No se puede usar un solo certificado de cliente para autenticar a más de un usuario de MongoDB.

Nota

Requisitos del nombre de usuario

Para usar sesiones de cliente y garantías de coherencia causal con usuarios de autenticación $external (usuarios Kerberos, LDAP o X.509), los nombres de usuario no pueden superar los 10k bytes.
Los RDN en la subject cadena deben ser compatibles con el RFC2253 estándar.

Puede recuperar el RFC2253 formateado subject del certificado del cliente con el siguiente comando:
```
openssl x509 -in <pathToClientPEM> -inform PEM -subject -nameopt RFC2253
```
El comando devuelve la cadena subject y el certificado:
```
subject= CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry
-----BEGIN CERTIFICATE-----
# ...
-----END CERTIFICATE-----
```

Añade el valor compatible con RFC2253 del subject como usuario. Omite los espacios según sea necesario.

El siguiente ejemplo agrega un usuario y le otorga el rol en readWrite la test base de datos y el userAdminAnyDatabase rol:

db.getSiblingDB("$external").runCommand(
  {
    createUser: "CN=myName,OU=myOrgUnit,O=myOrg,L=myLocality,ST=myState,C=myCountry",
    roles: [
         { role: "readWrite", db: "test" },
         { role: "userAdminAnyDatabase", db: "admin" }
    ],
    writeConcern: { w: "majority" , wtimeout: 5000 }
  }
)

Consulte Administrar usuarios y roles en implementaciones autoadministradas para obtener detalles sobre cómo agregar un usuario con roles.

Autenticarse con un certificado X.509

Después de que haya añadido el sujeto del certificado de cliente X.509 como un usuario correspondiente de MongoDB, puede autenticarse con el certificado de cliente:

Para autenticarse durante la conexión, ejecute el siguiente comando:

mongosh --tls --tlsCertificateKeyFile <path to client PEM file> \
    --tlsCAFile <path to root CA PEM file> \
    --authenticationDatabase '$external' \
    --authenticationMechanism MONGODB-X509

Opción	notas
`--tls`
`--tlsCertificateKeyFile`	Especifique el archivo X.509 del cliente.
`--tlsCAFile`	Especifique el archivo de autoridad de certificación para verificar el certificado presentado por la `mongod` instancia.
`--authenticationDatabase`	Especifique `'$external'`.
`--authenticationMechanism`	Especifique `MONGODB-X509`.

Puedes conectarte sin autenticación y usar el método db.auth() para autenticarte después de la conexión.

Por ejemplo, si se usa mongosh,

Conecta mongosh a mongod:

mongosh --tls --tlsCertificateKeyFile <path to client PEM file> \
    --tlsCAFile <path to root CA PEM file>

Opción	notas
`--tls`
`--tlsCertificateKeyFile`	Especifique el archivo X.509 del cliente.
`--tlsCAFile`	Especifique el archivo de autoridad de certificación para verificar el certificado presentado por la instancia `mongod` `mongos` o.

Para autenticarse, usa el método db.auth() en la base de datos $external. En el campo mechanism, especifica "MONGODB-X509".
```
db.getSiblingDB("$external").auth(
  {
    mechanism: "MONGODB-X509"
  }
)
```

Próximos pasos

Para usar la autenticación X.509 en conjuntos de réplicas o clústeres particionados, consulta Usar el certificado X.509 para autenticación de membresía con MongoDB autogestionado.

Volver

X.509

Encriptación

Requisitos previos

Autoridad de Certificación

Cliente X.509 Certificado

Procedimiento

Implemente con autenticación X.509

Agregar X.509 Certificado subject como usuario

Nota

Requisitos del nombre de usuario

Autenticarse con un certificado X.509

Próximos pasos

Agregar X.509 Certificado `subject` como usuario