Lewati ke konten utama

SSL/TLS Encryption in Transit for MongoDB

Database MongoDB pada Platform Aplikasi Virtuozzo dilengkapi dengan add-on bawaan yang menerapkan "encryption in transit". Add-on ini kompatibel dengan solusi standalone dan terkluster, dan fungsionalitasnya memastikan perlindungan data dengan koneksi terenkripsi SSL/TLS selama pertukaran antara server. Setelah instalasi, semua operasi terkait ditangani secara otomatis—enkripsi data sebelum transmisi, autentikasi endpoint, dekripsi konten, dan verifikasi setelah kedatangan.

Add-On Installation

Add-on ini dapat dipasang di atas node database MongoDB versi 6 dan yang lebih baru.

1. Di dashboard platform, buka bagian Add-Ons dari lapisan database yang sesuai dan klik Install untuk solusi MongoDB Encrypted Connection.

tip

Add-on ini juga tersedia di Marketplace dan dapat diimpor dari repositori GitHub yang sesuai.

SSL/TLS encryption add-on

2. Di dalam jendela instalasi yang terbuka, pilih Environment dan Node Group(s) target (beberapa lapisan dapat dipilih jika diperlukan) di mana add-on akan dipasang.

SSL add-on installation

Klik Install untuk melanjutkan.

3. Tunggu sebentar, dan database Anda akan dikonfigurasi untuk bekerja melalui koneksi terenkripsi.

SSL add-on installed

Add-On Specifics

Di bawah ini, Anda dapat mempelajari tentang proses dan spesifikasi pembuatan sertifikat:

  • Sertifikat dihasilkan dengan utilitas /usr/local/sbin/selfcertgen.
  • Sertifikat berformat PEM digunakan di MongoDB.
  • Sertifikat bersifat self-signed dan diterbitkan untuk hostname node tertentu. Artinya, setiap node memiliki satu set sertifikat sendiri, dan Anda harus menggunakan yang sesuai dengan node yang diakses untuk autentikasi.
  • Sertifikat disimpan dalam folder /var/lib/jelastic/keys/SSL-TLS (dapat diakses melalui pintasan keys dalam file manager). Terdapat dua subfolder:
    • server – sertifikat server digunakan untuk menyediakan enkripsi TLS untuk koneksi ke database MongoDB.
    • client – sertifikat klien yang dapat diunduh dapat digunakan untuk mengautentikasi koneksi klien ke server database.
MongoDB SSL certificates

Konfigurasi MongoDB:

  • Semua konfigurasi add-on disediakan melalui file konfigurasi /etc/mongod.conf terpisah:
net:
  tls:
    mode: allowTLS
    certificateKeyFile: /var/lib/jelastic/keys/SSL-TLS/server/server.pem
    CAFile: /var/lib/jelastic/keys/SSL-TLS/server/root.pem
    allowConnectionsWithoutCertificates: true
MongoDB SSL configurations
  • Konfigurasinya menyediakan jalur ke file SSL server. Juga, termasuk opsi “allowConnectionsWithoutCertificates: true” untuk membuat penggunaan koneksi aman menjadi opsional. Jika dihapus, akan sulit bagi klien untuk terhubung ke server ini menggunakan koneksi yang tidak terenkripsi.

Add-On Configuration

Add-on dapat ditemukan di bawah tab Add-Ons untuk lapisan yang sesuai. Anda dapat menggunakan tombol berikut untuk memperbarui sertifikat yang diperlukan (jika Anda pikir sertifikat tersebut dikompromikan atau jika secara tidak sengaja dihapus):

  • Renew all certs – menghasilkan semua sertifikat SSL ulang
  • Renew server certs – menghasilkan sertifikat SSL server ulang
  • Renew client certs – menghasilkan sertifikat SSL klien ulang
managing MongoDB SSL add-on

Untuk menghapus add-on dari lapisan (termasuk konfigurasi khusus dan sertifikat SSL yang dihasilkan), buka menu di sudut kanan atas panel dan klik Uninstall.

Secure Connection to MongoDB

Mari kita cek koneksi aman ke node MongoDB dengan menggunakan opsi tls dan tlsCAFile dalam string koneksi:

  • –tls – menentukan penggunaan TLS untuk koneksi ini
  • –host – menetapkan hostname atau IP database
  • –tlsCAFile – menyediakan jalur ke file sertifikat CA
mongosh --tls --host \{hostName\} --tlsCAFile=\{path/to/root.pem\}
MongoDB SSL connection

Baca Juga