为 FIPS 配置 MongoDB
概述
联邦信息处理标准 (FIPS) 是美国政府的计算机安全标准,用于认证安全加密和解密数据的软件模块和库。您可以配置 MongoDB ,使其使用经 FIPS 140-2 认证的 OpenSSL 库运行。您可以将 FIPS 配置为默认运行或根据需要从命令行运行。
FIPS 和 TLS/SSL 的完整描述超出了本文档的范围。本教程假定您事先了解 FIPS 和 TLS/SSL。
重要
MongoDB 和 FIPS
FIPS 是加密系统的属性,而不是访问控制系统的属性。但是,如果您的环境需要符合 FIPS 的加密和访问控制,则必须确保访问控制系统仅使用符合 FIPS 的加密。
MongoDB 的 FIPS 支持涵盖 MongoDB 使用 SSL/TLS 库进行网络加密、SCRAM 身份验证和 x.509 身份验证的方式。如果使用 Kerberos 或 LDAP 身份验证,则必须确保这些外部机制与 FIPS 兼容。
注意
MongoDB 禁用对 TLS 1的支持。在使用 TLS 1的系统上进行0加密。 1 + 可用。
平台支持
FIPS 模式仅适用于 MongoDB Enterprise版。请参阅安装 MongoDB Enterprise下载并安装MongoDB Enterprise。
以下平台支持 FIPS 模式:
平台 | TLS/SSL 库 |
|---|---|
Linux | OpenSSL |
Windows | 安全通道 (Schannel) |
macOS | 安全传输 |
OpenSSL3 支持
从 MongoDB6 开始。0 。7 ,FIPS 模式支持 OpenSSL3 适用于以下操作系统:
Ubuntu 22.04
RHEL 9
Amazon Linux 2023
配置 FIPS
选择以下适合平台的标签页:
其他注意事项
SCRAM SHA 和 FIPS 模式
从 MongoDB5 开始。1 ,在 FIPS 模式 下运行的实例默认禁用 SCRAM-SHA-1 身份验证机制 。您可以使用 setParameter.authenticationMechanisms 命令启用 SCRAM-SHA-1 身份验证机制 。
此更改不会影响针对 MongoDB setFeatureCompatibilityVersion 4.0+ 的驱动程序。
如果您使用 SCRAM-SHA-1:
md5 是有必要使用的,但并不用于加密目的,
如果使用FIPS 模式,则使用以下命令代替SCRAM-SHA- 1 :
数据库工具和 FIPS 模式
以下程序不再支持--sslFIPSMode选项:
mongod、mongos 和 FIPS 模式
如果将 mongod 和 mongos 配置为使用 FIPS 模式,mongod 和 mongos 将使用符合 FIPS 标准的连接。
MongoDB Shell 和 FIPS 模式
默认的mongosh发行版:
MongoDB 还提供了 MongoDB Shell 发行版,可以使用:
您的服务器上安装了 OpenSSL 1.1 和 OpenSSL 3。
--tlsFIPSMode选项,以启用mongoshFIPS 模式。
提示
另请参阅:
下载包含 OpenSSL 1的 MongoDB Shell 发行版。 1和 OpenSSL 3 ,请转到MongoDB 下载中心。