升级群集以使用 TLS/SSL

MongoDB 服务器支持在同一 TCP 端口上侦听 TLS/SSL 加密和未加密的连接。这允许 MongoDB 集群升级以使用 TLS/SSL 加密的连接。

要从不使用 TLS/SSL 加密的 MongoDB 集群升级到使用仅 TLS/SSL 加密的集群，请使用以下滚动升级过程：

• 对于集群中的每个节点，将选项--sslMode设置为allowSSL来启动节点。 --sslMode allowSSL <--sslMode>设置允许节点接受 TLS/SSL 和非 TLS /非 SSL 传入连接。它与其他服务器的连接不使用 TLS/SSL。包括其他TLS/SSL options以及您的特定配置所需的任何其他选项。

For example:

mongod --replSet <name> --sslMode allowSSL --sslPEMKeyFile <path to TLS/SSL Certificate and key PEM file> --sslCAFile <path to root CA PEM file> <additional options>

将群集的所有节点升级到这些设置。

您也可以在configuration file中指定这些选项。如果使用YAML 格式配置文件，请在文件中包括以下设置：

net:
   ssl:
      mode: <disabled|allowSSL|preferSSL|requireSSL>
      PEMKeyFile: <path to TLS/SSL certificate and key PEM file>
      CAFile: <path to root CA PEM file>

• 切换所有 Client 端以使用 TLS/SSL。参见Client 端的 TLS/SSL 配置。

• 对于群集的每个节点，请使用setParameter命令将sslMode更新为preferSSL。 [1]以preferSSL作为其net.ssl.mode时，该节点接受 TLS/SSL 和非 TLS /非 SSL 传入连接，并且它与其他服务器的连接使用 TLS/SSL。例如：

db.adminCommand( { setParameter: 1, sslMode: "preferSSL" } )

将群集的所有节点升级到这些设置。

此时，所有连接都应使用 TLS/SSL。

• 对于群集的每个节点，使用setParameter命令将sslMode更新为requireSSL。 [1]以requireSSL作为其net.ssl.mode，该节点将拒绝任何非 TLS /非 SSL 连接。例如：

db.adminCommand( { setParameter: 1, sslMode: "requireSSL" } )

• 升级所有节点后，请使用适当的 TLS/SSL 设置编辑configuration file，以确保在后续重新启动时，群集使用 TLS/SSL。