X.509 证书为 数据库用户提供对其项目中集群的访问权限。请注意,数据库用户与Atlas用户不同。数据库用户可以访问权限MongoDB数据库,而Atlas用户可以访问权限Atlas应用程序本身。
X.509 证书可以是以下类型之一:
自管理证书。对于自管理证书,您必须提供证书颁发机构 (CA) 并为数据库用户生成自己的证书。有关在项目中设置自我管理证书的更多详细信息,请参阅配置项目以使用公钥基础设施。
Atlas 托管证书。通过 Atlas 托管的证书, Atlas还可以管理您的 CA 并为您的数据库用户生成证书。您无需使用 Atlas 托管证书处理任何其他 CA 配置。
先决条件
要自行管理 X.509 证书,您必须有公钥基础设施 (PKI) 以便与Atlas集成。
配置项目以使用公钥基础设施
如果您选择使用自我管理的 X.509 证书,则必须将项目配置为使用您提供的 PKI。
AtlasGoAdvanced在Atlas中,Go项目的 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中,单击 Security 标题下的 Database & Network Access。
在侧边栏中,单击 Advanced。
显示“高级”页面。
提供 PEM 编码的证书颁发机构。
对于使用 Atlas CLI 指定的项目,如要保存某一项客户管理的 X.509 配置,请运行以下命令:
atlas security customerCerts create [options]
要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas security customerCerts create(创建 atlas 安全客户证书)。
您可以通过 Atlas UI 提供证书颁发机构 (CA),方法如下:
单击 Upload,从文件系统中选择一个
.pem文件,然后单击 Save。将
.pem文件的内容复制到提供的文本区域,然后单击 Save。
您可以在同一.pem文件或文本区域中连接多个 CA。 用户可以使用任何提供的 CA 生成的证书进行身份验证。
上传 CA 时,系统会自动创建项目级警报,以便在 CA 过期前30天发送通知,每24小时重复一次。 您可以从 Atlas 的Alert Settings页面查看和编辑此警报。 有关配置警报的更多信息,请参阅配置警报设置。
要在上传后编辑 CA,请单击Self-Managed X.509 Authentication Settings图标。
使用自管理 X.509 身份验证添加数据库用户
输入用户信息。
字段 | 说明 | |
|---|---|---|
Common Name | 受 TLS/SSL 证书保护的用户公用名 (CN)。有关更多信息,请参阅 RFC 2253。 示例,如果您的常用名是“Jane Doe”,您的组织是“MongoDB”,您的国家/地区是“US”,则在Common Name字段中插入以下内容: | |
User Privileges | 可以通过以下方式之一分配角色:
有关Atlas内置权限的更多信息,请参阅角色和权限概述。 |