设置自我管理的 X.509 身份验证

在此页面上

Considerations

必需的访问权限
先决条件
配置项目以使用公钥基础设施
查看或修改自管理的 X.509 身份验证设置
使用自管理 X.509 身份验证添加数据库用户

自管理的 X.509 证书，也称为双向 TLS 或 mTLS，为数据库用户提供对项目中集群的访问权限。数据库用户不同于 Atlas 用户。数据库用户可访问 MongoDB 数据库，而 Atlas 用户可访问 Atlas 应用程序自身。

Considerations

如果您启用 LDAP 授权，则无法使用通过 Atlas 托管的 X.509 证书进行身份验证的用户连接到集群。

启用 LDAP授权后，您可以通过使用自托管 X. 509证书进行身份验证的用户来连接集群。但是，用户的 X. 509证书中的公用名必须与有权使用 LDAP 访问数据库的用户的标识名匹配。

在同一个数据库中，您可以同时拥有使用自管理证书进行身份验证的用户和使用 Atlas 管理的 X.509 证书进行身份验证的用户。

必需的访问权限

要管理数据库用户，您必须对 Atlas 拥有 Organization Owner（组织所有者）或 Project Owner（项目所有者）访问权限。

先决条件

要使用自管理的 X.509 证书，您必须拥有公钥基础架构才能与 MongoDB Atlas 集成。

配置项目以使用公钥基础设施

AtlasGoAdvanced在Atlas中，Go项目的页面。

如果尚未显示，请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示，请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中，单击 Security 标题下的 Advanced。
显示 “高级”页面。

打开自管理的 X.509 身份验证功能。

将 Self-Managed X.509 Authentication 切换到 ON。

提供 PEM 编码的证书颁发机构。

对于使用 Atlas CLI 指定的项目，如要保存某一项客户管理的 X.509 配置，请运行以下命令：

atlas security customerCerts create [options]

要了解有关命令语法和参数的更多信息，请参阅 Atlas CLI 文档中的 atlas security customerCerts create（创建 atlas 安全客户证书）。

提示

请参阅：相关链接

您可以通过 Atlas UI 提供证书颁发机构 (CA)，方法如下：

单击 Upload，从文件系统中选择 .pem 文件，然后单击 Save。
将 .pem 文件的内容复制到提供的文本区域，然后单击 Save。

您可以在同一.pem文件或文本区域中连接多个 CA。用户可以使用任何提供的 CA 生成的证书进行身份验证。

上传 CA 时，系统会自动创建项目级警报，以便在 CA 过期前 30 天发送通知，每 24 小时重复一次。您可以从 Atlas 的Alert Settings页面查看和编辑此警报。有关配置警报的更多信息，请参阅配置警报设置。

查看或修改自管理的 X.509 身份验证设置

对于使用 Atlas CLI 指定的项目，要返回某一项客户托管 X.509 配置的详细信息，请运行以下命令：

atlas security customerCerts describe [options]

对于使用 Atlas CLI 指定的项目，如要禁用某一项客户管理的 X.509 配置，请运行以下命令：

atlas security customerCerts disable [options]

要了解有关上述命令的语法和参数的更多信息，请参阅Atlas CLI Atlassecurity customerCerts describe 和Atlas security customerCerts disable 的文档。

提示

请参阅：相关链接

要使用 Atlas UI 查看或编辑 CA，请单击 Self-Managed X.509 Authentication Settings 图标。

使用自管理 X.509 身份验证添加数据库用户

AtlasGoDatabase Access在Atlas中，Go项目的页面。

如果尚未显示，请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示，请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中，单击 Security 标题下的 Database Access。
显示数据库访问页面。

打开Add New Database User 对话框。

如果尚未显示，请单击 Database Users 标签页。
单击 Add New Database User（添加新的数据库用户）。

选择 CERTIFICATE（Atlas SQL）。

输入用户信息。

字段

说明

Distinguished Name

用户公用名 (CN) 以及下表中的可选附加标识名字段 (RFC 4514)：

名称	说明	类型	大小（以 MB 为单位）
`businesscategory`	`businessCategory` 属性，用于描述组织所从事业务的类型。	DirectoryString	SIZE(1..128)
`c`	双字母 ISO3166 国家/地区代码。	StringType	SIZE(2)
`cn`	对象的通用名称。如果对象对应于人员，通常是人员的全名。	StringType	SIZE(1..64)
`countryofcitizenship`	RFC 3039 `CountryOfCitizenship` 属性，包含至少一个国籍国的标识符。仅接受 ISO 3166 代码。	PrintableString	SIZE(2)
`countryofresidence`	RFC 3039 `CountryOfResidence` 属性，其中至少包含一个国家/地区的值。仅接受 ISO 3166 代码。	PrintableString	SIZE(2)
`dateofbirth`	RFC 3039 `DateOfBirth` 属性，用于指定主体的出生日期。	采用如下格式的 GeneralizedTime：`YYYYMMDD000000Z`。
`dc`	`domainComponent` 属性类型，包含一个 DNS 域名。	StringType
`dn`	`dnQualifier` 属性类型，包含要添加到条目的相对标识名的消歧信息。	DirectoryString	SIZE(1..64)
`e`	Verisign 证书中的电子邮件地址。
`emailaddress`	`emailAddress` （RSA PKCS#9 扩展名）属性，用来按照非结构化 ASCII 字符串中的指示指定电子邮件地址或邮寄地址。	IA5String
`gender`	RFC 3039 `Gender` 属性，用下载指定主体的性别。接受 `M` 、`F` 、`m`或`f`。	PrintableString	SIZE(1)
`generation`	`generationQualifier` 包含名称字符串的属性类型，这些名称字符串通常是人名的后缀部分。	DirectoryString	SIZE(1..64)
`givenname`	姓名字符串，即姓名中除姓氏以外的部分。	DirectoryString	SIZE(1..64)
`initials`	除姓氏以外，个人部分或全部姓名的首字母缩写。	DirectoryString	SIZE(1..64)
`l`	`localityName` 包含地区或地点（例如城市、县或其他地理区域）名称的属性。	StringType	SIZE(1..64)
`name`	(`id-at-name`) 属性超类型，使用名称语法从中继承用户属性类型。	DirectoryString	SIZE(1..64)
`nameofbirth`	ISIS-MTT `NameAtBirth` 属性，用于指定一个人出生时的姓名。	DirectoryString	SIZE(1..64)
`o`	组织名称。	StringType	SIZE(1..64)
`ou`	组织单位名称。	StringType	SIZE(1..64)
`placeofbirth`	RFC 3039 `PlaceOfBirth` 用于指定出生地的值。	DirectoryString	SIZE(1..128)
`postaladdress`	RFC 3039 `PostalAddress`，其中包括 `stateOrProvinceName` 和 `localityName` 属性类型（如果存在），用于存储地址和地理信息。	顺序	SIZE (1..6) OF DirectoryString(SIZE(1..30))
`postalcode`	`postalCode` 该属性用于指定邮政服务用来识别邮政服务区域的代码。	DirectoryString	SIZE(1..40)
`pseudonym`	RFC 3039 `pseudonym` 用于指定假名的属性，例如昵称以及拼写不同于注册名称定义的名称。	DirectoryString	SIZE(1..64)
`serialnumber`	设备序列号名称。	StringType	SIZE(1..64)
`sn`	设备序列号名称。	StringType	SIZE(1..64)
`st`	州或省名称。	StringType	SIZE(1..64)
`street`	街道名称。	StringType	SIZE(1..64)
`surname`	X520name 类型的命名属性。	DirectoryString	SIZE(1..64)
`t`	`Title` 属性，包含主体在组织中的指定职位或职能。	DirectoryString	SIZE(1..64)
`telephonenumber`	`id-at-telephoneNumber`，这是国际公认的国际电话号码格式。	PrintableString	SIZE (1..32)
`uid`	LDAP 用户 ID。	DirectoryString
`uniqueidentifier`	对象的唯一标识符。	DirectoryString
`unstructuredaddress`	PKCS#9 属性，用于将主题的一个或多个地址指定为非结构化目录string 。	DirectoryString
`unstructuredname`	PKCS#9 属性，用以非结构化的 ASCII 字符串形式指定一个或多个主体名称。	DirectoryString	SIZE(1..64)

有关标识名字段的更多信息，请参阅 RFC4514 。

例如：

CN=Jane Doe,O=MongoDB,C=US

User Privileges

可以通过以下方式之一分配角色：

选择 Atlas admin，为用户提供 readWriteAnyDatabase 以及一些管理权限。
选择 Read and write to any database，将授权用户读取和写入任意数据库。
选择 Only read any database（仅读取任意数据库），将授权用户读取任意数据库。
选择Select Custom Role以选择之前在 Atlas 中创建的自定义角色。如果内置数据库用户角色无法描述所需的权限集，您可以为数据库用户创建自定义角色。有关自定义角色的更多信息，请参阅配置自定义数据库角色。

单击 Add Default Privileges（添加默认权限）。单击此选项之后，可以选择个别角色以及指定角色适用的数据库。（可选）对于 read 和 readWrite 角色，还可以指定一个集合。如果没有为 read 和 readWrite 指定集合，角色将适用于数据库中的所有非system（系统）集合。

下表描述了 Atlas 的特定权限、所适用的数据库及其代表的特权操作。

Atlas 特定特权	Database	特权操作
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	用户已配置	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	用户已配置	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	用户已配置	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	用户已配置	`inprog` `killop` `killAnySession` `killCursors` `listSessions`
`readWriteAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

有关 Atlas 内置权限的信息，请参阅内置角色。

有关授权的更多信息，请参阅 MongoDB 手册中的基于角色的访问控制和内置角色。

单击 Add User（保存并关闭）。

后退

工作负载（应用程序）

来年

静态加密

Considerations

必需的访问权限

先决条件

配置项目以使用公钥基础设施

AtlasGo.css-h15tq0{font-style:normal;font-weight:700;}Advanced在Atlas中，Go项目的 页面。

打开自管理的 X.509 身份验证功能。

提供 PEM 编码的证书颁发机构。

提示

请参阅：相关链接

查看或修改自管理的 X.509 身份验证设置

提示

请参阅：相关链接

使用自管理 X.509 身份验证添加数据库用户

AtlasGoDatabase Access在Atlas中，Go项目的 页面。

打开Add New Database User 对话框。

选择 CERTIFICATE（Atlas SQL）。

输入用户信息。

单击 Add User（保存并关闭）。

AtlasGoAdvanced在Atlas中，Go项目的页面。

AtlasGoDatabase Access在Atlas中，Go项目的页面。