/ /

Habilitar TLS para una implementación

Cloud Manager dejará de ofrecer compatibilidad con automatización, copias de seguridad y monitorización para MongoDB 3.6 y 4.0 a partir del 30de agosto de 2024. Por favor, Actualice su implementación de MongoDB o migre a Atlas.

Para que Cloud Manager monitoree, implemente o realice una copia de seguridad de una implementación de MongoDB que utiliza TLS, debe habilitar TLS para el proyecto de Cloud Manager.

Considerations

Temas fuera del alcance

Una descripción completa de la seguridad de la capa de transporte La infraestructura de clave pública, los certificadosX.509 y las autoridades de 509 certificación exceden el alcance de este tutorial. Este tutorial presupone conocimientos previos de TLS y acceso a certificados X. válidos.

Nota

Para Para restablecer la configuración de autenticación y TLS para su proyecto, primero deje de administrar cualquier implementación de MongoDB que Cloud Manager administre en su proyecto.

Requisito previo

Obtenga e instale el certificado TLS en cada host de MongoDB

Adquiera un certificado TLS para cada host que sirva a un proceso de MongoDB. Este certificado debe incluir el FQDN del nombre de host de este host de MongoDB. El FQDN debe ser el nombre alternativo del sujeto de este host. Debe instalar este certificado TLS en el host de MongoDB.

Procedimientos

Importante

Debes completar:

Configure las implementaciones existentes para usar TLS y luego
Habilitar TLS para el proyecto

antes de hacer clic Review & Deploy.

Configurar implementaciones existentes para usar TLS

Si desea habilitar TLS para implementaciones de MongoDB existentes en su proyecto de Cloud Manager:

En MongoDB Cloud Manager, ir a la página Processes del proyecto.

Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.

Se muestra la página Procesos.

Selecciona la vista Clusters para tu implementación.

En la línea que enumera el proceso, haz clic en Modify.

Expandir la Advanced Configuration Options sección.

Habilitar TLS para el proyecto

En MongoDB Cloud Manager, ir a la página Security del proyecto.

Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

Vaya al Security Settings cuadro de diálogo para su implementación.

Realice una de las siguientes acciones:

Si es la primera vez que configura TLS, autenticación o autorización para este proyecto, haga clic Get Started en.
Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.

Elige tus mecanismos de autenticación.

En la Select Authentication Mechanisms pantalla, habilite uno o más mecanismos de autenticación.
TLS funciona con todos los mecanismos de autenticación.
Haga clic en Next.

Especifique la configuración deTLS.

Campo

Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Cambie este control deslizante a ON.

Ruta de archivo CA TLS

El archivo de autoridad de certificación TLS es un .pemArchivo de certificado con formato que contiene la cadena de certificados raíz de la autoridad de certificación. El agente de MongoDB utiliza este mismo archivo de autoridad de certificación para conectarse a todos los elementos de su implementación.

La clave privada .pem cifrada del archivo de certificado debe tener el formato PKCS1 #. El agente de MongoDB no admite el formato PKCS #.8

Escriba la ruta del archivo de la autoridad de certificación TLS en cada host que ejecute un proceso MongoDB:

Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.
Escriba la ruta del archivo en todos los hosts de Windows en el segundo cuadro.

Esto habilita la configuración para los procesos MongoDB en el net.tls.CAFile proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Modo de certificado de cliente

Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional	Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no se configuran los `mongod` `tlsMode` valores `None` a.
Requerido	Cada implementación de MongoDB en este proyecto comienza con conexiones de red cifradas con TLS. Todos los agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

Configurar los agentes de MongoDB.

En la lista Agent Auth Mechanism, haz clic en los mismos mecanismos de autenticación que hiciste para el proyecto.
Siga el procedimiento para configurar el Agente MongoDB para utilizar ese método de autenticación:

Nota

Si tenía certificados TLS para agentes heredados, consulte ¿Qué sucede si tenía certificados TLS para agentes de respaldo o monitoreo heredados? al final de este procedimiento para obtener orientación.

Haga clic Save en para establecer sus cambios.

Haga clic Review & Deploy en para revisar sus cambios.

Cloud Manager muestra los cambios propuestos.

Si estás satisfecho, haz clic en Confirm & Deploy.
Si desea realizar más cambios de configuración, haga clic en Cancel. Haga clic en Modify para que el clúster realice cambios adicionales.

Si actualizó al Agente MongoDB desde implementaciones que usaban Automatización, el Agente MongoDB administra las configuraciones de TLS.
Si actualizó al Agente MongoDB desde implementaciones que no usaban Automatización pero tenía Agentes de Respaldo, Agentes de Monitoreo o ambos,puede configurar sus configuraciones específicas del Agente de Respaldo y del Agente de Monitoreo durante la actualización del Agente o mediante el siguiente procedimiento:

En MongoDB Cloud Manager, ir a la página Agents del proyecto.

Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Agents en la sección Database.

Se muestra la página Agentes.

Editar la configuración.

Haz clic en Downloads & Settings, Custom Configurations y luego Edit Custom Configuration.
Haz clic en .

Completa la sección Backup Configurations.

Escriba la configuración deseada en el Setting cuadro y su valor correspondiente en el Value cuadro.
Para agregar más de un Setting, haga clic en el enlace + Add Setting. Aparecerá otra fila.
Repita hasta que se hayan agregado todas las configuraciones.

Completa la sección Monitoring Configurations.

Escriba la configuración deseada en el Setting cuadro y el valor correspondiente en el Value cuadro.
Para agregar más de un Setting, haga clic en el enlace + Add Setting. Aparecerá otra fila.
Repita hasta que se hayan agregado todas las configuraciones.

Puede hacer clic para eliminar cualquier configuración que haya agregado.

Si está utilizando la función de solo monitoreo de Cloud Manager con un clúster habilitado para TLS, debe completar los siguientes pasos para permitir que el agente de monitoreo de MongoDB se conecte al clúster monitoreado habilitado para TLS.

Habilitar SSL para implementación supervisada.

Navegue a la vista de lista de Implementación y haga clic en a la derecha de la implementación deseada.
Seleccione Configuración de monitoreo > TLS y SSL.
Cambia el modal al estado ON.

Volver

Configuración del firewall

Seguro con autenticación