Definición
Nuevo en la versión 5.0.
db.rotateCertificates(message)Rota lo que se está utilizando actualmente Certificados TLS para un
mongodo para utilizar los valores actualizados para estos certificados definidos en elmongosarchivode configuración.db.rotateCertificates(message) El método
db.rotateCertificates()toma el siguiente argumento opcional:ParameterTipoDescripciónmessagestring
opcional Un mensaje registrado por el servidor en la entrada de registro y el archivo de auditar.
El método
db.rotateCertificates()envuelve el comandorotateCertificates.
Compatibilidad
Este método está disponible en implementaciones alojadas en los siguientes entornos:
Importante
Este comando no es compatible con los clústeres de MongoDB Atlas. Para obtener información sobre el soporte de Atlas para todos los comandos, consulta Comandos no compatibles.
MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.
Nota
Atlas rota automáticamente los certificados. No necesitas ejecutar el comando rotateCertificates cuando utilizas Atlas. Usa el comando rotateCertificates solo si quieres rotar los certificados manualmente.
Salida
El método db.rotateCertificates() retorna un documento con el siguiente campo:
Campo | Tipo | Descripción |
|---|---|---|
| bool | Contiene el estado de ejecución del comando. |
Comportamiento
La rotación incluye los siguientes certificados:
CRL (Certificate Revocation List) files(en las plataformas Linux y Windows)
Para rotar uno o más de estos certificados:
Se debe sustituir el certificado o los certificados que se desean rotar en el sistema de archivos, teniendo en cuenta las siguientes restricciones:
Cada nuevo certificado debe tener el mismo nombre de archivo y la misma ruta de archivo que el certificado que está reemplazando.
Si rota un certificado cifrado
TLS Certificate, su contraseña debe ser la misma que la contraseña del certificado antiguo (como se especifica en los ajustes del archivo de configuracióncertificateKeyFilePassword). La rotación de certificados admite a la solicitud de contraseña interactiva.
Se debe conectar
mongoshamongodo a la instanciamongosen la que se desee realizar la rotación de certificados.Ejecute para rotar los
db.rotateCertificates()mongodmongoscertificados utilizados por la instancia o.
Cuando tiene lugar la rotación de certificados:
Las conexiones existentes a la instancia de
mongodomongosno se terminan y continuarán usando los certificados antiguos.Cualquier nueva conexión utilizará los nuevos certificados.
Si has configurado OCSP para tu implementación, el método db.rotateCertificates() también obtendrá respuestas OCSP adjuntas durante la rotación.
El método db.rotateCertificates() se puede ejecutar en un mongod o mongos en ejecución, independientemente del estado de replicación.
Solo puede ejecutarse una instancia de db.rotateCertificates() o rotateCertificates en cada proceso mongod o mongos a la vez. Intentar iniciar una segunda instancia mientras ya hay una en ejecución resultará en un error.
Los archivos de certificado incorrectos, caducados, revocados o ausentes harán que falle la rotación del certificado, pero no invalidarán la configuración TLS existente ni terminarán el proceso mongod o mongos en ejecución.
Si el mongod o mongos está ejecutándose con --tlsCertificateSelector configurado en thumbprint, db.rotateCertificates() fallará y guardará un mensaje de advertencia en la entrada de registro.
Registro
Tras una rotación correcta, los nombres de los sujetos, las huellas digitales y el periodo de validez de las huellas digitales de los certificados del servidor y del clúster se registran en el destino de registro configurado. Si la auditoría está habilitada, esta información también se escribe en el registro de auditoría.
En las plataformas Linux y Windows, si hay un, su huella digital y período de validez también se registran en estas CRL file ubicaciones.
Acceso requerido
Debe tener la rotateCertificates acción para poder usar el método db.rotateCertificates(). La acción rotateCertificates forma parte del rol hostManager.
Ejemplo
La siguiente operación rota los certificados en una mongod instancia en ejecución, después de haber realizado las actualizaciones apropiadas en el archivo de configuración para especificar la información del certificado actualizada:
db.rotateCertificates()
Lo siguiente realiza lo mismo que lo anterior, pero también escribe un mensaje de registro personalizado en el momento de la rotación en el archivo de registro y en el archivo de auditoría:
db.rotateCertificates("message": "Rotating certificates")