常见问题解答:安全性
Atlas 如何加密我的数据?
Atlas 对任何静态数据(包括集群数据和数据备份) 使用全卷(磁盘)加密。
Atlas 还要求对客户端数据和集群内网络通信进行 TLS 加密。
如果您的组织需要有关Atlas加密的更多具体信息,请联系Atlas MongoDB支持:
在 Atlas 中,转到 Project Support(项目集成)页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在 Projects(项目)菜单旁边,展开 Options(选项)菜单,然后单击 Project Support(项目设置)。
显示项目支持页面。
是否可以在部署中禁用 TLS?
No.
Atlas 支持哪些版本的 TLS?
Atlas 要求所有 Atlas 集群使用 TLS 连接。2020 年 7 月后,无论 MongoDB 版本如何,Atlas 默认对所有新 Atlas 集群启用“传输层安全”(TLS) 协议 1.2 版本。
MongoDB 4.0及更高版本禁用了对 TLS 1.0的支持 其中TLS 1 。 1 + 可用。 您可以手动配置TLS 1 。 1或1 。 0 ,方法是编辑集群配置。
您可以阅读 支付卡行业 (PCI) 以及 美国国家标准与技术研究院 (NIST) 。
如果您对TLS支持有疑问或无法更新应用程序以支持TLS 1.2 ,请联系 Atlas MongoDB 支持部门。
要打开Atlas支持票证:
在 Atlas 中,转到 Project Support(项目设置)页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在 Projects(项目)菜单旁边,展开 Options(选项)菜单,然后单击 Project Support(项目设置)。
显示项目支持页面。
如何知道我的应用程序是否支持 TLS 1.2?
如果应用程序的基础编程语言或安全库在 TLS 1.2 之前就已存在,则可能需要更新到最新版本以支持 TLS 1.2。您可能还需要更新应用程序主机操作系统,以支持TLS1.2。
MongoDB 和 Atlas 不提供审核外部应用程序所支持的 TLS 版本的服务。第三方服务(如 howsmyssl.com)可提供相应的工具。MongoDB 不支持此服务,此处引用仅供参考。利用您组织的程序选择供应商或服务来审核应用程序。
如需更新集群以支持 TLS 1.2,我需要做些什么?
审核应用程序是否支持 TLS 1.2。
更新技术堆栈中不支持 TLS 1.2 的所有组件。
修改集群配置以使用 TLS 1.2。
我可以强制启用 TLS 1.0 吗?
Atlas 允许您在修改集群过程中手动配置 TLS 1.0。
对任何 Atlas 集群启用 TLS 1.0 都会带来重大风险。考虑仅在需要更新应用程序堆栈以支持 TLS 1.2 时启用 TLS 1.0。
哪个证书颁发机构签署 MongoDB Atlas TLS 证书?
MongoDB Atlas使用 Let's Encrypt 作为所有集群 TLS 证书的证书颁发机构。
从 62025 月开始,我们将添加 Google Trust Services 作为Atlas集群的额外证书颁发机构,以提高可用性。添加此功能后, Atlas会使用 GTS Root R1GTS Root R2Google Trust Services 的 或 根证书颁发机构以及ISRG Root X1 Let's Encrypt 的 根证书颁发机构为集群签署 TLS 证书。
注意
大多数应用程序环境的受信任证书颁发机构列表中已包含 Let's Encrypt 和 Google Trust Services。
要下载证书颁发机构证书,请参阅 Google Trust Services存储库和 ISRG Root X1 。
Atlas集群多久轮换一次 TLS 证书?
TLS 证书自颁发之日起的90 天内有效。证书在证书到期日期前 42 天进行轮换。
使用以下命令检查节点的 TLS 证书是否过期:
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
硬编码“证书颁发机构”。
我们不建议对中间证书进行硬编码或固定,因为这会带来操作负担和可用性风险。如果 Let's Encrypt 或 Google Trust Services 轮换或替换固定的中间证书,您的应用程序可能无法连接,从而导致中断。
如果必须固定证书,请将其固定到证书颁发机构证书,而不是任何中间证书。
Java 用户
Let's Encrypt 的 ISRG 根证书和 Google Trust Services 根证书在 u 更新后的Java版本7 7391的默认信任存储区以及 u 之后的Java版本8 8381的默认信任存储区中可用更新 。使用18 7 月 之后的Java发布。2023
确保 Java 客户端软件是最新的。使用最新的 Java 版本可以利用 TLS 证书的许多改进(除了新的“证书颁发机构”的这些要求)。
如果您有自己的信任存储,请将 Let's Encrypt 和 Google Trust Services 证书添加到其中。要学习;了解更多信息,请参阅哪个证书颁发机构签署MongoDB Atlas TLS 证书?
Windows Server 用户
默认, Windows Server 中不包含 ISRG Root X1 、GTS Root R1 和 GTS Root R2 根证书颁发机构,但可在Microsoft可信根计划中使用。
要配置Windows Server 以下载受信任的根证书,请参阅Windows文档。
Amazon Linux AMI 用户
某些版本的Amazon Linux AMI 可能不会同时具有 ISRG 根 X1 和 GTS 根R1 和R2 证书。请迁移到较新版本的Amazon Linux以获得所需的根证书。 6 月2025 之后,我们将要求Atlas支持ISRG 根 X1 、GTS 根R1 和R2 证书,以避免证书兼容性问题。
如果您必须使用较旧的Amazon Linux AMI,请手动安装 ISRG 根 X 1、GTS 根R 1 和R 2 根证书颁发机构。
其他所有人
如果您使用的是最新的编程语言和操作系统版本, 则此更改不会对您造成影响。