Docs Menu
Docs Home
/ /
/ / /

TLS サーバー証明書の取得

自己管理型MongoDBレプリカセット配置で TLS暗号化を有効にするためにサーバー証明書を取得します。

重要

これらの手順は、自己管理型MongoDB配置に適用されます。 MongoDB Atlasクラスターはデフォルトで TLS を使用します。 Cloud Managerまたは Ops Manager を使用する場合は、配置管理ツールを通じて TLS を構成します。

開始する前に、次の情報とリソースがあることを確認してください。

  • 自己管理型のMongoDBレプリカセット配置があり、TLS で保護したい

  • 後のチュートリアルで TLS 接続を確認するために、配置で少なくとも 1 人の管理者ユーザーを有効にします。 X.509 クライアント認証を有効にする場合、userAdmin データベースでユーザーを作成および変更するには、管理者ユーザーは少なくとも$external ロールを持っている必要があります。

  • 配置内の各ノードには、mongo0.example.commongo1.example.commongo2.example.com などのホスト名があります。パブリック CA を使用している場合は、これらのホスト名に対応するドメイン名が登録されている必要があります。

  • マシンに OpenSSL がインストールされている。

  • let の暗号化や DigiCert などの公開 CA を使用する予定の場合は、どの公開 CA を使用しているかがわかっています。プライベート CA を使用する予定の場合は、組織の PKI 情報にアクセスできます。証明書を取得するためのプロセスは、使用する CA によって異なる場合があります。ただし、このチュートリアルの最終結果セクションで説明されているのと同じ.pem ファイルで終了する必要があります。

  • 希望するコマンドラインインターフェイスが開いています。

  • TLS プランニング ページに基づいて、デプロイ TLS 構成要件と証明書にclientAuth EKU が必要かどうかがわかります。

このチュートリアルでは、配置の最初のノードに対して mongo0.pem という 1 つの証明書を作成します。追加のノードの証明書を生成する場合は、ファイル名を特定してください。例、最初のセカンダリノードの証明書に mongo1.pem という名前を付けます。

このチュートリアルの最後には、/etc/ssl/mongodb には次の .pem ファイルが含まれています。

  • .pem各ノードには、そのノードの証明書と秘密キーを含む ファイルがあります(mongo0.pem mongo1.pem、 、mongo2.pem など)。

  • 配置全体では、各ノードの証明書を発行した中間 CA 証明書(ca.pem など)があります。

自己管理型MongoDBデプロイの TLS を構成する方法については、次のチュートリアル「 自己管理型配置の TLS 構成 」に進んでください。

戻る

構成を計画する

項目一覧