자체 관리형 MongoDB 복제본 세트 배포에 대해 TLS 암호화 활성화 하려면 서버 인증서를 가져옵니다.
중요
이 단계는 자체 관리형 MongoDB 배포에 적용 . MongoDB Atlas 클러스터는 기본값 으로 TLS를 사용합니다. Cloud Manager 또는 Ops Manager 사용하는 경우 배포서버 관리 도구를 통해 TLS를 구성합니다.
시작하기 전에
시작하기 전에 다음 정보와 리소스가 있는지 확인하세요.
TLS로 보호하려는 자체 관리형 MongoDB 복제본 세트 배포서버 있습니다.
이후 튜토리얼에서 TLS 연결을 확인할 수 있도록 배포서버 에 관리 사용자가 한 명 이상 활성화되어 있습니다. X.509 클라이언트 인증 활성화 하려면 관리 사용자에게 데이터베이스 에서 사용자를 생성하고 수정할 수 있는 최소한 역할
userAdmin$external있어야 합니다.배포서버 의 각 노드 에 대한 호스트 이름(예:,,)이
mongo0.example.commongo1.example.commongo2.example.com있습니다. 공용 CA를 사용하는 경우 이러한 호스트 이름에 해당하는 등록된 도메인 이름이 있어야 합니다.Let's Encrypt 또는 CrossCert와 같은 공용 CA를 사용할 계획인 경우 사용 중인 공용 CA를 알고 있어야 합니다. 사설 CA를 사용할 계획인 경우 조직의 PKI 정보에 액세스 할 수 있습니다. 인증서를 얻는 프로세스 사용하는 CA에 따라 다를 수 있습니다. 그러나
.pem이 튜토리얼의 최종 결과 섹션에 설명된 것과 동일한 파일로 끝나야 합니다.원하는 명령줄 인터페이스 열려 있어야 합니다.
TLS 계획 페이지를 기반으로 배포서버 TLS 구성 요구 사항과 인증서에
clientAuthEKU가 필요한지 여부를 알고 있습니다.
단계
이 튜토리얼에서는 배포서버 의 첫 번째 노드 에 대해 mongo0.pem 라는 인증서 하나를 만듭니다. 추가 노드에 대한 인증서를 생성할 때는 파일 이름을 구체적으로 지정해야 합니다. 예시 들어, 첫 번째 세컨더리 노드 의 인증서 이름을 mongo1.pem로 지정합니다.
최종 결과
이 튜토리얼을 마치면 /etc/ssl/mongodb에 다음과 같은 .pem 파일이 있습니다.
각
.pem노드 에mongo0.pem대해,mongo1.pem및 와mongo2.pem같이 해당 노드 에 대한 인증서와 비공개 키가 포함된 파일 있습니다.전체 배포서버 의 경우 각 노드 에 대한 인증서를 발급한 중간 CA 인증서(예:
ca.pem)가 있습니다.
다음 단계
자체 관리형 MongoDB deployment 위한 TLS 구성 방법을 학습 다음 튜토리얼인 자체 관리형 배포서버를위한 TLS 구성을 계속 진행하세요.