x.509

Requisitos de Certificado do Cliente

Requisitos de certificado do cliente:

• Uma única Autoridade de Certificação (CA) deve emitir os certificados para o cliente e para o servidor.

• Cada usuário único do MongoDB deve ter um certificado exclusivo.

• O certificado x.509 não pode expirar.

  Observação

  mongod / mongos registra um aviso na conexão se o x apresentado. O certificado 509 expira dentro 30 dias a partir da hora do sistema host mongod/mongos . Consulte x.509 Certificados próximos da expiração trigger Avisos para obter mais informações.

• Os certificados do cliente devem conter os seguintes campos:

  keyUsage = digitalSignature
  extendedKeyUsage = clientAuth

• Pelo menos um dos seguintes atributos do certificado do cliente deve ser diferente dos atributos dos certificados do servidor net.tls.clusterFile e net.tls.certificateKeyFile:

  • Organização (O)

  • Unidade organizacional (OU)

  • Componente de domínio (DC)

• O subject de um certificado x.509 de cliente, que contém o nome distinto (DN), deve ser diferente dos subjects dos certificados de nó x.509.

  Importante

  Se o assunto de um certificado x.509 do cliente corresponder aos atributos O, OU e DC do certificado x.509 do membro (ou tlsX509ClusterAuthDNOverride, se definido) exatamente, a conexão do cliente será aceita, todas as permissões serão concedidas e uma mensagem de aviso será exibida no registro.

  Somente certificados x509 de membros do cluster devem usar as mesmas combinações de atributos O, OU e DC.

  Novo na versão 4.2: se a implantação do MongoDB tiver tlsX509ClusterAuthDNOverride definido, o assunto do certificado x.509 do cliente não deve corresponder a esse valor.

Usuário do MongoDB e banco de dados $external

Para autenticar com um certificado de cliente, você deve primeiro adicionar o subject do certificado de cliente como um usuário do MongoDB no banco de dados $external. O banco de dados $external é o banco de dados de autenticação do usuário.

Cada certificado de cliente x.509 exclusivo é para um usuário MongoDB. Você não pode usar um único certificado de cliente para autenticar mais de um usuário do MongoDB.

Para usar Client Sessions e Causal Consistency Guarantees com usuários de autenticação $external (usuários Kerberos, LDAP ou x.509), os nomes de usuário não podem ter mais de 10k bytes.

Aviso de inicialização do certificado de conexão TLS X509

A partir do MongoDB 5.0, mongod e mongos agora emitem um aviso de inicialização quando seus certificados não incluem um atributo Subject Alternative Name.

As seguintes plataformas não suportam validação de nome comum:

• iOS 13 e superior

• MacOS 10.15 e superior

• Vá para 1,15 e superior

Os clientes que usam essas plataformas não se autenticarão em servidores MongoDB que usam certificados x.509 cujos nomes de host são especificados por atributos CommonName.

Requisitos de certificado de membro

Use certificados de membro para verificar a associação a um cluster fragmentado ou a um conjunto de réplicas. Os caminhos do arquivo de certificado do nó são configurados com as opções net.tls.clusterFile e net.tls.certificateKeyFile. Os nós têm os seguintes requisitos de configuração:

• A configuração do membro do cluster deve especificar um valor não vazio para pelo menos um dos atributos utilizados para autenticação. Por padrão, o MongoDB aceita:

  • a Organização (O)

  • a Unidade Organizacional (OU)

  • o componente de domínio (DC)

  Você pode especificar atributos alternativos para utilizar para autenticação configurando net.tls.clusterAuthX509.extensionValue.

• A configuração do membro do cluster deve incluir o mesmo net.tls.clusterAuthX509.attributes e utilizar valores correspondentes. A ordem dos atributos não importa. O exemplo a seguir define O e OU, mas não DC:

  net:
    tls:
      clusterAuthX509:
        attributes: O=MongoDB, OU=MongoDB Server

Os certificados têm os seguintes requisitos:

• Uma única CA (Certificate Authority, autoridade de certificação) deve emitir todos os certificados x.509 para os membros de um cluster fragmentado ou de um conjunto de réplicas.

• Pelo menos uma das entradas de nome alternativo do assunto (SAN) deve corresponder ao nome de host do servidor usado por outros membros do cluster. Ao comparar SANs, o MongoDB pode comparar nomes DNS ou endereços IP.

  Se você não especificar subjectAltName, o MongoDB compara o nome comum (CN). No entanto, esse uso de CN ficou obsoleto de acordo com RFC2818

• Se o certificado utilizado como certificateKeyFile incluir extendedKeyUsage, o valor deverá incluir clientAuth ("Autenticação de cliente Web TLS") e serverAuth ("Autenticação de servidor Web TLS").

  extendedKeyUsage = clientAuth, serverAuth

• Se o certificado utilizado como clusterFile incluir extendedKeyUsage, o valor deverá incluir clientAuth.

  extendedKeyUsage = clientAuth

Configuração do MongoDB para Autenticação de Membros

Você pode usar TLS para autenticação interna entre cada membro do seu conjunto de réplicas (cada instância mongod) ou cluster fragmentado (cada instância mongod e mongos).

Para usar TLS para autenticação interna, use as seguintes configurações:

• security.clusterAuthMode ou --clusterAuthMode definido como x509

• net.tls.clusterFile ou --tlsClusterFile (disponível a partir do MongoDB 4.2)

As instâncias mongod e mongos usam seus arquivos de chave de certificado para provar sua identidade aos clientes, mas os arquivos de chave de certificado também podem ser usados para autenticação de associação. Se você não especificar um arquivo de cluster, os nós utilizarão seus arquivos de chave de certificado para autenticação de associação. Especifique o arquivo de chave do certificado com net.tls.certificateKeyFile ou --tlsCertificateKeyFile(disponível a partir do MongoDB 4.2).

Para usar o arquivo de chave de certificado para autenticação de cliente e autenticação de associação, o certificado deve:

• Omitir extendedKeyUsage ou

• Especificar extendedKeyUsage = serverAuth, clientAuth