自己管理型MongoDBレプリカセット配置で TLS暗号化を有効にするためにサーバー証明書を取得します。
重要
これらの手順は、自己管理型MongoDB配置に適用されます。 MongoDB Atlasクラスターはデフォルトで TLS を使用します。 Cloud Managerまたは Ops Manager を使用する場合は、配置管理ツールを通じて TLS を構成します。
始める前に
開始する前に、次の情報とリソースがあることを確認してください。
自己管理型のMongoDBレプリカセット配置があり、TLS で保護したい
後のチュートリアルで TLS 接続を確認するために、配置で少なくとも 1 人の管理者ユーザーを有効にします。 X.509 クライアント認証を有効にする場合、
userAdminデータベースでユーザーを作成および変更するには、管理者ユーザーは少なくとも$externalロールを持っている必要があります。配置内の各ノードには、
mongo0.example.com、mongo1.example.com、mongo2.example.comなどのホスト名があります。パブリック CA を使用している場合は、これらのホスト名に対応するドメイン名が登録されている必要があります。let の暗号化や DigiCert などの公開 CA を使用する予定の場合は、どの公開 CA を使用しているかがわかっています。プライベート CA を使用する予定の場合は、組織の PKI 情報にアクセスできます。証明書を取得するためのプロセスは、使用する CA によって異なる場合があります。ただし、このチュートリアルの最終結果セクションで説明されているのと同じ
.pemファイルで終了する必要があります。希望するコマンドラインインターフェイスが開いています。
TLS プランニング ページに基づいて、デプロイ TLS 構成要件と証明書に
clientAuthEKU が必要かどうかがわかります。
手順
このチュートリアルでは、配置の最初のノードに対して mongo0.pem という 1 つの証明書を作成します。追加のノードの証明書を生成する場合は、ファイル名を特定してください。例、最初のセカンダリノードの証明書に mongo1.pem という名前を付けます。
最終結果
このチュートリアルの最後には、/etc/ssl/mongodb には次の .pem ファイルが含まれています。
.pem各ノードには、そのノードの証明書と秘密キーを含む ファイルがあります(mongo0.pemmongo1.pem、 、mongo2.pemなど)。配置全体では、各ノードの証明書を発行した中間 CA 証明書(
ca.pemなど)があります。
次のステップ
自己管理型MongoDBデプロイの TLS を構成する方法については、次のチュートリアル「 自己管理型配置の TLS 構成 」に進んでください。