Docs 菜单
Docs 主页
/
MongoDB Atlas
/ /

常见问题解答:安全性

在此页面上

  • Atlas 如何加密我的数据?
  • 是否可以在部署中禁用 TLS?
  • Atlas 支持哪些版本的 TLS?
  • 哪个证书颁发机构签署 MongoDB Atlas TLS 证书?

Atlas 对任何静态数据(包括集群数据和数据备份) 使用全卷(磁盘)加密。

Atlas 还要求对客户端数据和集群内网络通信进行 TLS 加密。

如果您的组织需要有关 Atlas 加密的更多具体信息,请联系 Atlas MongoDB 支持

1
  1. 如果尚未显示,请选择包含所需项目的组织导航栏中的Organizations菜单。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. Projects(项目)菜单旁边,展开 Options(选项)菜单,然后单击 Project Support(项目设置)。

    显示“项目支持”页面。

2

No.

Atlas 要求所有 Atlas 集群使用 TLS 连接。2020 年 7 月后,无论 MongoDB 版本如何,Atlas 默认对所有新 Atlas 集群启用“传输层安全”(TLS) 协议 1.2 版本。

MongoDB 4 。 0及更高版本禁用了对 TLS 1的支持。 0 ,其中TLS 1 。 1 + 可用。您可以手动配置TLS 1 。 1或1 。 0 ,方法是编辑集群配置。

您可以阅读 支付卡行业 (PCI) 以及 美国国家标准与技术研究院 (NIST)

如果您对TLS支持有疑问或无法更新应用程序以支持TLS 1.2 ,请联系 Atlas MongoDB 支持部门

要打开 Atlas 支持票证:

1
  1. 如果尚未显示,请选择包含所需项目的组织导航栏中的Organizations菜单。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. Projects(项目)菜单旁边,展开 Options(选项)菜单,然后单击 Project Support(项目设置)。

    显示“项目支持”页面。

2

如果应用程序的基础编程语言或安全库在 TLS 1.2 之前就已存在,则可能需要更新到最新版本以支持 TLS 1.2。您可能还需要更新应用程序主机操作系统,以支持TLS1.2。

MongoDB 和 Atlas 不提供审核外部应用程序所支持的 TLS 版本的服务。第三方服务(如 howsmyssl.com)可提供相应的工具。MongoDB 不支持此服务,此处引用仅供参考。利用您组织的程序选择供应商或服务来审核应用程序。

  • 审核应用程序是否支持 TLS 1.2。

  • 更新技术堆栈中不支持 TLS 1.2 的所有组件。

  • 修改集群配置以使用 TLS 1.2。

Atlas 允许您在修改集群过程中手动配置 TLS 1.0。

对任何 Atlas 集群启用 TLS 1.0 都会带来重大风险。考虑仅在需要更新应用程序堆栈以支持 TLS 1.2 时启用 TLS 1.0。

2522020 月,MongoDB Atlas 迁移到 Let's Encrypt 作为所有 Atlas 集群的 TLS 证书的新证书颁发机构。

从 5 月1 2021开始,MongoDB Atlas 创建的新 TLS 证书使用 ISRG 而不是 IdenTrust 作为其根证书颁发机构,与 Let's Encrypt 的 公告 一致 此转换。

2022 年 3 月 17 日,MongoDB Atlas 已转向 Let's Encrypt,将其作为 cloud.mongodb.comTLS 证书的新证书颁发机构。

请查看以下场景,确保您不会遇到连接问题:

我们不建议对 中间证书 进行硬编码或固定 因为它会带来操作负担和可用性风险。如果 Let's Encrypt 轮换或替换固定的证书,应用程序可能无法连接,从而导致中断。

如果必须固定证书,请将其固定到 Let's Encrypt 的根证书颁发机构 ( ISRG Root X1 ),而不是任何中间证书。

Let's Encrypt 新的 ISRG 根证书不存在于 7u151 更新之前的 Java 版本 7或 8u141 更新之前的 Java 版本 8 的默认信任存储中。 使用 2017 年 7 月 18 日之后的 Java 版本。

确保 Java 客户端软件是最新的。使用最新的 Java 版本可以利用 TLS 证书的许多改进(除了新的“证书颁发机构”的这些要求)。

如果您有自己的信任存储区,请将 Let's Encrypt 证书添加到其中。 要了解更多信息,请参阅硬编码证书颁发机构。

默认情况下, 中不包含 ISRG 根 X1WindowsMongoDB ServerMicrosoft 根证书颁发机构,但可在 可信根计划中使用。

要配置WindowsMongoDB Server 以下载受信任的根证书,包括 Let's Encrypt 的新 ISRG 根证书,请参阅Windows 文档。

Amazon Linux AMI 不支持新的 ISRG Root X1 根证书颁发机构。

如果您正在使用 Amazon Linux AMI,请迁移到 Amazon Linux 2。 在 2021 年 9 月 30 日之后,为避免证书兼容性问题, Atlas 必须支持 ISRG Root X1 证书。

要在 2021 年 9 月 30 日之后继续使用 Amazon Linux AMI, 请手动安装新的 ISRG Root X1 根证书颁发机构。

如果您使用的是最新的编程语言和操作系统版本, 则此更改不会对您造成影响。

后退

常见问题解答:联网