TLS/SSL(传输加密)

在本页面

• TLS/SSL

• Certificates

• Identity Verification

• FIPS Mode

TLS/SSL

MongoDB 支持 TLS/SSL(传输层安全性/安全套接字层)来加密所有 MongoDB 的网络流量。 TLS/SSL 确保只有目标 Client 端才能读取 MongoDB 网络流量。

MongoDB TLS/SSL 实现使用 OpenSSL 库。 MongoDB 的 TLS/SSL 加密仅允许对所有连接使用最小长度为 128 位密钥长度的强 TLS/SSL 密码。

Certificates

要将 TLS/SSL 与 MongoDB 结合使用，您必须具有 TLS/SSL 证书作为PEM文件，它们是串联的证书容器。

MongoDB 可以使用证书颁发机构或自签名证书颁发的任何有效 TLS/SSL 证书。如果您使用自签名证书，则尽管通信通道将被加密，但服务器身份将没有验证。尽管这种情况可以防止窃听连接，但是您很容易受到中间人攻击。使用由受信任的证书颁发机构签名的证书，将允许 MongoDB 驱动程序验证服务器的身份。

例如，请参阅Client 端的 TLS/SSL 配置。

Identity Verification

除加密连接外，TLS/SSL 还允许使用证书进行身份验证，包括副本集和分片群集的client authentication和internal authentication成员。

有关更多信息，请参见：

• 为 TLS/SSL 配置 mongod 和 mongos

• Client 端的 TLS/SSL 配置

• 使用 x.509 证书对 Client 端进行身份验证

• 使用 x.509 证书进行会员身份验证

FIPS Mode

联邦信息处理标准(FIPS)是美国政府的计算机安全标准，用于认证可安全加密和解密数据的软件模块和库。您可以将 MongoDB 配置为与 FIPS 140-2 认证的 OpenSSL 库一起运行。将 FIPS 配置为默认运行或根据需要从命令行运行。

有关示例，请参见为 FIPS 配置 MongoDB。

• 为 TLS/SSL 配置 mongod 和 mongos

• Client 端的 TLS/SSL 配置

• 升级群集以使用 TLS/SSL

• 为 FIPS 配置 MongoDB