获取服务器证书,以便为自管理的MongoDB副本集部署启用 TLS加密。
重要
这些步骤应用于自我管理的MongoDB部署。 MongoDB Atlas集群默认使用 TLS。如果您使用Cloud Manager或Ops Manager,请通过部署管理工具配置 TLS。
开始之前
在开始之前,请确保您拥有以下信息和资源:
您有一个自管理的MongoDB副本集部署,您想使用 TLS 来保护它。
在后续教程中,您的部署中至少启用了一个管理员用户来验证 TLS 连接。如果要启用X.509 客户端身份验证,管理员用户必须至少具有 角色,才能在
userAdmin$external数据库中创建和修改用户。部署中的每个节点都有一个主机名,例如
mongo0.example.com、mongo1.example.com和mongo2.example.com。如果使用公共 CA,则必须拥有与这些主机名相对应的注册域名。您的计算机上安装了 OpenSSL。
如果您计划使用公共 CA(例如 Let's Encrypt 或 DigiCert),您就知道自己正在使用哪个公共 CA。如果计划使用私有 CA,则可以访问权限组织的 PKI 信息。获取证书的进程可能会有所不同,具体取决于您使用的 CA。但是,您必须以本教程的最终结果部分中描述的相同
.pem文件结束。您已打开首选命令行界面。
根据 TLS 规划页面,您了解部署TLS 配置要求以及您的证书是否需要
clientAuthEKU。
步骤
本教程为部署中的第一个节点创建一个名为 mongo0.pem 的证书。为其他节点生成证书时,请提供具体的文件名称。示例,将第一个从节点(secondary node from replica set)节点的证书命名为 mongo1.pem。
最后的结果
学完本教程后,您将在 /etc/ssl/mongodb 中获得以下 .pem 文件:
对于每个节点,都有一个
.pem文件,其中包含该节点的证书和私钥,例如mongo0.pem、mongo1.pem和mongo2.pem。对于整个部署,您拥有为每个节点颁发证书的中间 CA 证书,例如
ca.pem。
后续步骤
要学习;了解如何为自托管MongoDB 部署配置 TLS,请继续学习下一个教程:为自托管部署配置 TLS。