Obtenha certificados de servidor para habilitar a criptografiaTLS para suas implantações de conjunto de réplicas autogerenciadas do MongoDB .
Importante
Essas etapas se aplicam a deployments autogerenciados do MongoDB . Os clusters do MongoDB Atlas usam TLS por padrão. Se você usar o Cloud Manager ou o Ops Manager, configure o TLS por meio de sua ferramenta de gerenciamento de implementação.
Antes de começar
Antes de começar, verifique se você tem as seguintes informações e recursos:
Você tem um sistema de conjunto de réplicas MongoDB autogerenciado que deseja proteger com TLS.
Você tem pelo menos um usuário administrador habilitado em seu sistema para verificar as conexões TLS em tutoriais posteriores. Se você deseja509 habilitar a autenticação do cliente X., o usuário administrador deve ter pelo menos o
userAdminpapel para criar e modificar usuários no$externalbanco de dados do.Você tem um nome de host para cada nó em seu sistema,
mongo0.example.comcomo,mongo1.example.commongo2.example.come. Se você estiver usando uma CA pública, deverá ter um nome de domínio registrado que corresponda a esses nomes de host.Você tem OpenSSL instalado em sua máquina.
Se você está planejando usar uma CA pública, como Let's Encrypt ou DigiCert, sabe qual CA pública está usando. Se você estiver planejando usar uma CA privada, terá acesso às informações de PKI da sua organização. O processo para obter certificados pode ser diferente com base na CA que você usa. No entanto, você deve terminar com os mesmos
.pemarquivos descritos na seção de resultado final deste tutorial.Você tem sua interface da linha de comando preferida aberta.
Você conhece os requisitos de configuração do TLS do seu sistema e se seus certificados precisam
clientAuthdo EKU com base na página Planejamento do TLS.
Passos
Este tutorial cria um certificado chamado mongo0.pem para o primeiro nó em seu sistema. Ao gerar certificados para nós adicionais, seja específico nos nomes dos arquivos. Por exemplo, nomeie o certificado do seu primeiro nó secundário mongo1.pem.
Resultado final
Ao final deste tutorial, você terá os seguintes arquivos .pem em /etc/ssl/mongodb:
Para cada nó, você tem um
.pemarquivo que contém o certificado e a chave privada para este nó,mongo0.pemmongo1.pemcomo,mongo2.peme.Para a implantação geral, você tem o certificado CA intermediário que emitiu os certificados para cada nó, como
ca.pem.
Próximos passos
Para saber como configurar o TLS para sua implantação autogerenciada do MongoDB , continue com o próximo tutorial, Configurar TLS para uma implantação autogerenciada.