Atlas 如何加密我的数据?
Atlas 对任何静态数据(包括集群数据和数据备份) 使用全卷(磁盘)加密。
Atlas 还要求对客户端数据和集群内网络通信进行 TLS 加密。
如果您的组织需要有关Atlas加密的更多具体信息,请联系Atlas MongoDB支持:
在 Atlas 中,转到 Support(项目集成)页面。
如果尚未显示,组织从导航栏中的Organizations菜单。
单击导航栏中的 Support 图标。
单击 View plan(连接)。
显示“支持”页面。
是否可以在部署中禁用 TLS?
No.
Atlas 支持哪些版本的 TLS?
Atlas 要求所有 Atlas 集群使用 TLS 连接。2020 年 7 月后,无论 MongoDB 版本如何,Atlas 默认对所有新 Atlas 集群启用“传输层安全”(TLS) 协议 1.2 版本。
MongoDB 7.0 及更高版本禁用了对 TLS 1.0 的支持其中 TLS 1.1+ 可用。您可以通过 编辑集群配置来手动配置 TLS.1 11或.0 。
重要
从 7 月31 2025日开始, Atlas在任何情况下都将不再支持TLS1.0 或1.1 。Atlas将升级所有集群,以拒绝使用 TLS.1 0或. 连接的尝试。11
在此升级期间,为 TLS 1.0 或 1.1 配置的所有客户端连接均会出现服务中断。为避免此情况,请尽早将集群的最低 TLS 版本设为 1.2。
您可以从支付卡行业 (PCI) 以及美国国家标准与技术研究院 (NIST) 了解更多有关时间安排和更改原因的信息。
如果您对TLS支持有疑问或无法更新应用程序以支持TLS 1.2 ,请联系 Atlas MongoDB 支持部门。
要打开Atlas支持票证:
在 Atlas 中,转到 Support(项目设置)页面。
如果尚未显示,组织从导航栏中的Organizations菜单。
单击导航栏中的 Support 图标。
单击 View plan(连接)。
显示“支持”页面。
如何知道我的应用程序是否支持 TLS 1.2?
如果应用程序的基础编程语言或安全库在 TLS 1.2 之前就已存在,则可能需要更新到最新版本以支持 TLS 1.2。您可能还需要更新应用程序主机操作系统,以支持TLS1.2。
MongoDB 和 Atlas 不提供审核外部应用程序所支持的 TLS 版本的服务。第三方服务(如 howsmyssl.com)可提供相应的工具。MongoDB 不支持此服务,此处引用仅供参考。利用您组织的程序选择供应商或服务来审核应用程序。
如需更新集群以支持 TLS 1.2,我需要做些什么?
审核应用程序是否支持 TLS 1.2。
更新技术堆栈中不支持 TLS 1.2 的所有组件。
修改集群配置以使用 TLS 1.2。
我可以强制启用 TLS 1.0 吗?
Atlas 允许您在修改集群过程中手动配置 TLS 1.0。
对任何 Atlas 集群启用 TLS 1.0 都会带来重大风险。考虑仅在需要更新应用程序堆栈以支持 TLS 1.2 时启用 TLS 1.0。
重要
从 7 月31 2025日开始, Atlas在任何情况下都将不再支持TLS1.0 或1.1 。Atlas将升级所有集群,以拒绝使用 TLS.1 0或. 连接的尝试。11
在此升级期间,为 TLS 1.0 或 1.1 配置的所有客户端连接均会出现服务中断。为避免此情况,请尽早将集群的最低 TLS 版本设为 1.2。
哪个证书颁发机构签署 MongoDB Atlas TLS 证书?
通过添加 Google Trust Services 作为额外的证书颁发机构, Atlas 集群节点的 TLS 证书现在由 Google Trust Services 或 Let's Encrypt 进行签名,从而提高了高可用性。Google Trust Services 将积极与 Let's Encrypt 证书颁发机构结合使用。您必须将来自 Google Trust Services 的 GTS Root R1、GTS Root R2、GTS Root R3 或 GTS Root R4 根证书颁发机构的 CA 证书添加到客户端的受信任证书存储区,此外还有 ISRG Root X1 根证书来自 Let's Encrypt 的授权,确保无缝服务连续性。
Atlas将来将使用 GTS Root R3 和 GTS Root R4 根 CA 证书来支持TLS 1.3。
注意
大多数应用程序环境的受信任证书颁发机构列表中已包含 Let's Encrypt 和 Google Trust Services。
要下载证书颁发机构证书,请参阅 Google 信任服务存储库 和 ISRG 根 X1。
注意
Atlas会自动轮换证书。您无需运行rotateCertificates 命令。仅当您想手动轮换证书时才使用 rotateCertificates 命令。
Atlas集群多久轮换一次 TLS 证书?
TLS 证书自颁发之日起的90 天内有效。证书在证书到期日期前 42 天进行轮换。
使用以下命令检查节点的 TLS 证书是否过期:
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
硬编码“证书颁发机构”。
我们不建议对中间证书进行硬编码或固定,因为这会带来操作负担和可用性风险。如果 Let's Encrypt 或 Google Trust Services 轮换或替换固定的中间证书,您的应用程序可能无法连接,从而导致中断。
如果必须固定证书,请将其固定到证书颁发机构证书,而不是任何中间证书。
Java 用户
Let's Encrypt 的 ISRG 根证书和 Google Trust Services 根证书均可在 u 更新后Java版本7 7391的默认信任存储以及 u {Java}8 8381更新 。使用 18 7 月 2023 之后的Java发布。
确保 Java 客户端软件是最新的。使用最新的 Java 版本可以利用 TLS 证书的许多改进(除了新的“证书颁发机构”的这些要求)。
如果您有自己的信任存储,请将 Let's Encrypt 和 Google Trust Services 证书添加到其中。 要学习;了解更多信息,请参阅哪个证书颁发机构签署MongoDB Atlas TLS 证书?
Windows Server 用户
默认下, Windows Server 中不包含 ISRG 根 X1、GTS 根R1 和 GTS 根R 2 根证书颁发机构,但可在Microsoft可信根计划中使用。
要配置Windows Server 以下载受信任的根证书,请参阅Windows文档。
Amazon Linux AMI 用户
某些版本的Amazon Linux AMI 可能不会同时具有 ISRG 根 X1 和 GTS 根R1 和R2 证书。请迁移到较新版本的Amazon Linux以获得所需的根证书。6 月2025之后,我们将要求Atlas支持ISRG 根 X1、GTS 根R1 和R 2 证书,以避免证书兼容性问题。
如果您必须使用较旧的Amazon Linux AMI,请手动安装 ISRG 根 X1、GTS 根R1 和R2 根证书颁发机构。
其他所有人
如果您使用的是最新的编程语言和操作系统版本, 则此更改不会对您造成影响。