Docs 菜单
Docs 主页
/
Atlas
/ /

常见问题解答:安全性

Atlas 对任何静态数据(包括集群数据和数据备份) 使用全卷(磁盘)加密。

Atlas 还要求对客户端数据和集群内网络通信进行 TLS 加密。

如果您的组织需要有关Atlas加密的更多具体信息,请联系Atlas MongoDB支持

1
  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击导航栏中的 Support 图标。

  3. 单击 View plan(连接)。

显示“支持”页面。

2

No.

Atlas 要求所有 Atlas 集群使用 TLS 连接。2020 年 7 月后,无论 MongoDB 版本如何,Atlas 默认对所有新 Atlas 集群启用“传输层安全”(TLS) 协议 1.2 版本。

MongoDB 7.0 及更高版本禁用了对 TLS 1.0 的支持其中 TLS 1.1+ 可用。您可以通过 编辑集群配置来手动配置 TLS.1 11或.0

重要

从 7 月31 2025日开始, Atlas在任何情况下都将不再支持TLS1.0 或1.1 。Atlas将升级所有集群,以拒绝使用 TLS.1 0或. 连接的尝试。11

在此升级期间,为 TLS 1.0 或 1.1 配置的所有客户端连接均会出现服务中断。为避免此情况,请尽早将集群的最低 TLS 版本设为 1.2。

您可以从支付卡行业 (PCI) 以及美国国家标准与技术研究院 (NIST) 了解更多有关时间安排和更改原因的信息。

如果您对TLS支持有疑问或无法更新应用程序以支持TLS 1.2 ,请联系 Atlas MongoDB 支持部门

要打开Atlas支持票证:

1
  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 单击导航栏中的 Support 图标。

  3. 单击 View plan(连接)。

显示“支持”页面。

2

如果应用程序的基础编程语言或安全库在 TLS 1.2 之前就已存在,则可能需要更新到最新版本以支持 TLS 1.2。您可能还需要更新应用程序主机操作系统,以支持TLS1.2。

MongoDB 和 Atlas 不提供审核外部应用程序所支持的 TLS 版本的服务。第三方服务(如 howsmyssl.com)可提供相应的工具。MongoDB 不支持此服务,此处引用仅供参考。利用您组织的程序选择供应商或服务来审核应用程序。

  • 审核应用程序是否支持 TLS 1.2。

  • 更新技术堆栈中不支持 TLS 1.2 的所有组件。

  • 修改集群配置以使用 TLS 1.2。

Atlas 允许您在修改集群过程中手动配置 TLS 1.0。

对任何 Atlas 集群启用 TLS 1.0 都会带来重大风险。考虑仅在需要更新应用程序堆栈以支持 TLS 1.2 时启用 TLS 1.0。

重要

从 7 月31 2025日开始, Atlas在任何情况下都将不再支持TLS1.0 或1.1 。Atlas将升级所有集群,以拒绝使用 TLS.1 0或. 连接的尝试。11

在此升级期间,为 TLS 1.0 或 1.1 配置的所有客户端连接均会出现服务中断。为避免此情况,请尽早将集群的最低 TLS 版本设为 1.2。

通过添加 Google Trust Services 作为额外的证书颁发机构, Atlas 集群节点的 TLS 证书现在由 Google Trust Services 或 Let's Encrypt 进行签名,从而提高了高可用性。Google Trust Services 将积极与 Let's Encrypt 证书颁发机构结合使用。您必须将来自 Google Trust Services 的 GTS Root R1GTS Root R2GTS Root R3GTS Root R4 根证书颁发机构的 CA 证书添加到客户端的受信任证书存储区,此外还有 ISRG Root X1 根证书来自 Let's Encrypt 的授权,确保无缝服务连续性。

Atlas将来将使用 GTS Root R3GTS Root R4 根 CA 证书来支持TLS 1.3。

注意

大多数应用程序环境的受信任证书颁发机构列表中已包含 Let's Encrypt 和 Google Trust Services。

要下载证书颁发机构证书,请参阅 Google 信任服务存储库ISRG 根 X1

TLS 证书自颁发之日起的90 天内有效。证书在证书到期日期前 42 天进行轮换。

使用以下命令检查节点的 TLS 证书是否过期:

echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate

我们不建议对中间证书进行硬编码或固定,因为这会带来操作负担和可用性风险。如果 Let's Encrypt 或 Google Trust Services 轮换或替换固定的中间证书,您的应用程序可能无法连接,从而导致中断。

如果必须固定证书,请将其固定到证书颁发机构证书,而不是任何中间证书。

Let's Encrypt 的 ISRG 根证书和 Google Trust Services 根证书均可在 u 更新后Java版本7 7391的默认信任存储以及 u {Java}8 8381更新 。使用 18 7 月 2023 之后的Java发布。

确保 Java 客户端软件是最新的。使用最新的 Java 版本可以利用 TLS 证书的许多改进(除了新的“证书颁发机构”的这些要求)。

如果您有自己的信任存储,请将 Let's Encrypt 和 Google Trust Services 证书添加到其中。 要学习;了解更多信息,请参阅哪个证书颁发机构签署MongoDB Atlas TLS 证书?

默认下, Windows Server 中不包含 ISRG 根 X1、GTS 根R1 和 GTS 根R 2 根证书颁发机构,但可在Microsoft可信根计划中使用。

要配置Windows Server 以下载受信任的根证书,请参阅Windows文档。

某些版本的Amazon Linux AMI 可能不会同时具有 ISRG 根 X1 和 GTS 根R1 和R2 证书。请迁移到较新版本的Amazon Linux以获得所需的根证书。6 月2025之后,我们将要求Atlas支持ISRG 根 X1、GTS 根R1 和R 2 证书,以避免证书兼容性问题。

如果您必须使用较旧的Amazon Linux AMI,请手动安装 ISRG 根 X1、GTS 根R1 和R2 根证书颁发机构。

如果您使用的是最新的编程语言和操作系统版本, 则此更改不会对您造成影响。

后退

常见问题解答:联网

在此页面上