연결에서 TLS 활성화

이 페이지의 내용

개요

TLS 활성화
인증서 구성
클라이언트의 참조 인증서
인증서를 저장할 SecureContext 객체 만들기
인증서 파일 경로 제공
인증서를 저장할 버퍼 객체 만들기
SecureContext 예시
추가 정보
API 문서

이 버전의 문서는 보관되어 더 이상 지원되지 않습니다. Node.js 드라이버 버전을 업그레이드 하는 방법을 알아보려면최신 문서 를 참조하세요.

개요

이 가이드에서는 TLS 보안 프로토콜을 사용해 MongoDB 인스턴스에 연결하는 방법을 배울 수 있습니다.

TLS를 사용하도록 연결을 구성하려면 TLS 옵션을 활성화하고 유효성 검사를 위해 인증서를 제공합니다.

팁

TLS에 대한 자세한 내용은 전송 계층 보안에 대한 Wikipedia 항목을 참조하세요.

TLS 활성화

다음과 같은 방법으로 MongoDB 인스턴스에 대한 연결에서 TLS를 활성화할 수 있습니다:

MongoClientOptions 객체에서tls 옵션을 true(으)로 설정
연결 문자열에서 tls 옵션을 true(으)로 설정

참고

연결 문자열에 +srv 수정을 지정하여 MongoDB에 연결할 때 DNS SRV 기록을 사용하는 경우에는 기본적으로 연결에서 TLS를 활성화하게 됩니다. 이를 비활성화하려면 연결 문자열 또는 MongoClientOptions 객체에서 tls 또는 ssl 매개변수 값을 false로 설정하세요.

DNS 시드 목록을 사용할 때의 연결 동작에 대한 자세한 내용은 서버 매뉴얼의 SRV 연결 형식 섹션을 참조하세요.

tls 클라이언트 옵션 외에도 드라이버는 연결에서 TLS를 구성할 수 있는 추가 옵션을 제공합니다. 테스트 목적으로 tlsAllowInvalidHostnames, tlsAllowInvalidCertificates 및 tlsInsecure 클라이언트 옵션을 설정할 수 있습니다.

tlsAllowInvalidHostnames 옵션을 true로 설정하면 호스트 이름 확인이 비활성화되며, tlsAllowInvalidCertificates를 true로 설정하면 인증서 유효성 검사가 비활성화됩니다. tlsInsecure옵션을 true로 설정하면 인증서 및 호스트 이름 유효성 검사를 모두 비활성화합니다.

경고

프로덕션 환경에서 이러한 옵션을 지정하면 애플리케이션이 안전하지 않고 만료된 인증서 및 유효한 클라이언트 인스턴스로 위장하는 외부 프로세스에 잠재적으로 취약해집니다.

클라이언트 옵션의 전체 목록은 연결 옵션을 참조하세요.

인증서 구성

TLS 요청을 성공적으로 시작하려면 애플리케이션은 암호화 인증서를 참조해 ID를 증명해야 합니다. TLS로 MongoDB에 연결하려면 인증서를 PEM 파일로 저장해야 합니다.

중요

프로덕션 용도의 경우 MongoDB deployment는 동일한 인증 기관에서 생성하고 서명한 유효한 인증서를 사용해야 합니다. 테스트를 위해 자체 서명된 인증서를 사용할 수 있습니다.

다음 목록에서는 TLS와의 연결을 설정하는 데 필요한 구성 요소에 대해 설명합니다.

TLS 구성 요소	설명
인증 기관(CA)	TLS 연결을 만들 때 신뢰할 수 있는 하나 인증 기관입니다.
클라이언트 인증서	서버가 애플리케이션의 신원을 확인하여 암호화된 네트워크 연결을 설정할 수 있도록 하는 디지털 인증서 및 키입니다.
인증서 키	클라이언트 인증서 비공개 키 파일입니다. 해당 키는 인증서 파일 자체에 포함되어 있는 경우가 많습니다.
암호 구문	개인 클라이언트 키가 암호화된 경우 복호화하기 위한 비밀번호입니다.

팁

PEM 형식에 대해 자세히 알아보려면 개인정보 보호 강화 메일에 대한 Wikipedia 항목을 참조하세요.

클라이언트의 참조 인증서

클라이언트가 연결되기 전에 서버에서 인증서를 검증할 수 있도록 MongoClientOptions 객체의 인증서를 참조해야 합니다. 다음과 같은 방법으로 인증서를 참조할 수 있습니다.

인증서를 저장할 SecureContext 객체 만들기(권장)
인증서를 가리키는 파일 경로 문자열을 제공합니다.
인증서를 저장할 Buffer 객체 만들기

인증서를 저장할 SecureContext 객체 만들기

TLS 연결을 구성하려면 secureContext 옵션을 사용하는 것이 좋습니다. SecureContext 객체는 Node.js 고유의 객체이므로 모든 TLS 옵션을 재사용 가능한 단일 객체에 보관할 수 있습니다.

SecureContext 객체를 만들려면 tls 모듈에서 createSecureContext() 메서드를 가져옵니다. 다음으로, createSecureContext() 메서드를 호출하고 옵션 매개변수에 인증서 내용을 전달합니다. 이 메서드는 MongoClientOptions 객체에서 사용할 수 있는 SecureContext 객체를 반환합니다.

다음 코드는 SecureContext 객체를 만들어 클라이언트에 전달하는 방법을 보여 줍니다:

// Create a SecureContext object
const secureContext = tls.createSecureContext({
  ca: fs.readFileSync(`<path to CA certificate>`),
  cert: fs.readFileSync(`<path to public client certificate>`),
  key: fs.readFileSync(`<path to private client key>`),
});
// Pass the SecureContext as a client option
const client = new MongoClient(uri, { tls: true, secureContext });

createSecureContext() 메서드 및 tls 패키지에 대해 자세히 알아보려면 Node.js TLS API 설명서를 참조하세요.

SecureContext 객체를 사용하는 실행 가능한 예시는 SecureContext 예시를 참조하세요.

인증서 파일 경로 제공

TLS에 연결하는 동안 인증서를 검색하기 위해 클라이언트 옵션으로 인증서의 파일 경로를 포함할 수 있습니다.

다음 코드는 MongoClient에서 인증서 파일 경로를 옵션으로 제공하는 방법을 보여줍니다.

// Pass filepaths as client options
const client = new MongoClient(uri, {
  tls: true,
  tlsCAFile: `<path to CA certificate>`,
  tlsCertificateFile: `<path to public client certificate>`,
  tlsCertificateKeyFile: `<path to private client key>`,
});

인증서를 저장할 버퍼 객체 만들기

TLS와 연결하기 위해 클라이언트 옵션에서 인증서 파일의 콘텐츠를 Buffer 객체로 전달할 수 있습니다.

다음 코드는 인증서 파일의 내용을 읽고 결과 Buffer 객체를 MongoClient 옵션으로 전달하는 방법을 보여줍니다.

// Read file contents
const ca = fs.readFileSync(`<path to CA certificate>`);
const cert = fs.readFileSync(`<path to public client certificate>`);
const key = fs.readFileSync(`<path to private client key>`);
// Pass Buffers as client options
const client = new MongoClient(uri, { tls: true, ca, cert, key });

SecureContext 예시

이 예시에서는 TLS 옵션을 포함하는 SecureContext 객체와 MongoClient 인스턴스를 생성하는 방법을 보여 줍니다. 이 예시에서는 MongoDB에 연결하여 찾기 쿼리를 실행합니다.

import { MongoClient } from "mongodb";
import * as fs from "fs";
import * as tls from "tls";
// Replace the uri string with your connection string.
const uri = "<connection uri>";
// Replace the filepaths with your certificate filepaths.
const secureContext = tls.createSecureContext({
  ca: fs.readFileSync(`<path to CA certificate>`),
  cert: fs.readFileSync(`<path to public client certificate>`),
  key: fs.readFileSync(`<path to private client key>`),
});
// Create a client with the secureContext option
const client = new MongoClient(uri, { tls: true, secureContext });
async function run() {
  try {
    const db = client.db("myDB");
    const myColl = db.collection("myColl");
    const doc = await myColl.findOne({});
    console.log(doc);
  } finally {
    await client.close();
  }
}
run().catch(console.dir);

추가 정보

연결에서 TLS를 활성화하는 방법에 대한 자세한 내용은 다음 서버 설명서를 참조하세요.

API 문서

← 네트워크 압축

Stable API →