Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

Configurar conexiones TLS a Ops Manager

Puede configurar Ops Manager para cifrar las conexiones de todos los Agentes MongoDB a Ops Manager, de los clientes del sitio web a la Aplicación Ops Manager y de API clientes de la interfaz de programación de aplicaciones (API) REST API.

Para cifrar las conexiones, puedes:

  • Configura un proxy HTTPS delante de Ops Manager, o

  • Ejecute la aplicación Ops Manager a través de HTTPS, como se describe en esta página.

El siguiente procedimiento configura Ops Manager con un .pem archivo que contiene el certificado TLS del host de Ops Manager.

El agente MongoDB utiliza HTTPS después de completar exitosamente el procedimiento.

Tip

Para obtener más información sobre los archivos .pem, lea el sección del archivo .pem en el manual de MongoDB.

Requisitos previos

  • Actualice o instale el Agente MongoDB.

  • Agregue cualquier TLS-relacionada configuración personalizada a su configuración del MongoDB Agent.

Configuración de la aplicación de Ops Manager para TLS

1

Carga el archivo del certificado en cada host de Ops Manager

  1. Sube tu archivo .pem a cada host de Ops Manager aplicación. Este certificado debe ser cargado en cada host de Ops Manager para que puedan aceptar conexiones TLS

  2. Cambie el propietario del archivo .pem a los mismos del proceso Ops Manager

  3. Cambia los permisos del archivo .pem para que solo el propietario del archivo pueda leerlo y escribirlo

2

Habilite TLS para la aplicación Ops Manager

  1. Haga clic Admin en la aplicación Ops Manager para ver la interfaz Admin

  2. Haz clic en la pestaña General

  3. Haga clic Ops Manager Config

  4. Haga clic Web Server & Email

  5. Establezca las siguientes opciones bajo el encabezado Web Server:

    Opción
    Acción

    URL to Access Ops Manager

    Proporciona la URL completa de la aplicación Ops Manager, incluido el puerto 8443, para el acceso por HTTPS.

    Por ejemplo:

    https://opsmanager.example.com:8443

    HTTPS PEM Key File

    Escribe la ruta absoluta del sistema de archivos donde se encuentra el archivo .pem en todos los hosts de Ops Manager en este cuadro.

    HTTPS PEM Key File Password

    Si cifró el HTTPS PEM Archivo de clave, escriba la contraseña necesaria para descifrarlo en este cuadro.

    Client Certificate Mode

    Selecciona si las aplicaciones cliente o los Agentes MongoDB deben presentar un certificado TLS al conectarse a un Ops Manager con TLShabilitado. Ops Manager verifica los certificados de estos hosts clientes cuando intentan conectarse. Si eliges exigir los certificados TLS de los clientes, asegúrate de que sean válidos.

    Los valores aceptados son:

    • None

    • Required for Agents Only

    • Required for All Requests

  6. Haga clic Save

3

(Opcional) Cambiar la versión mínima de TLS

En Ops Manager Server 4.4.13 y versiones posteriores, la aplicación Ops Manager requiere que sus clientes utilicen TLS versión 1.2 de forma predeterminada.

Para cambiar la versión mínima de TLS:

  1. Haga clic en Admin en la aplicación Ops Manager para ver la interfaz Admin

  2. Haz clic en la pestaña General

  3. Haga clic Ops Manager Config

  4. Haga clic Custom

  5. Configurar la versión mínima de TLS

  6. Introduzca en mms.minimumTLSVersion el Key cuadro

  7. Introduzca una versión mínima de TLS en el Value cuadro

    Se aceptan los siguientes valores:

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. Haga clic Save

4

(Opcional) Especifique las suites de cifrado TLS que desea excluir

Para excluir conjuntos de cifrado de TLS específicos de las conexiones TLS con la aplicación de Ops Manager.

  1. Haga clic en Admin en la aplicación Ops Manager para ver la interfaz Admin

  2. Haz clic en la pestaña General

  3. Haga clic Ops Manager Config

  4. Haga clic Custom

  5. Introduzca en mms.disableCiphers el Key cuadro

  6. Introduzca una lista separada por comas de conjuntos de cifrado para deshabilitar en el cuadro Value

    Importante

    Los nombres de los conjuntos de cifrado utilizados en Ops Manager deben seguir RFC 5246 convenciones de nomenclatura. No use la convención de nomenclatura de OpenSSL.

    Por ejemplo, utilice TLS_RSA_WITH_NULL_SHA256, no NULL-SHA256.

  7. Haga clic Save

5

Reinicie cada host de Ops Manager para habilitar TLS

Reinicia la aplicación de Ops Manager de acuerdo a las instrucciones para Iniciar y detener la aplicación de Ops Manager.

Configurar agentes de MongoDB para usar TLS

En cada host de MongoDB en tu clúster:

1

Abra el archivo de configuración de MongoDB Agent en su editor de texto preferido

La ubicación del archivo de configuración del MongoDB Agent depende de tu plataforma:

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

Cambiar mmsBaseUrl la configuración de y TLS

Configura o agrega las siguientes propiedades donde sea necesario:

Opción
Necesidad
Acción

mmsbaseurl

Requerido

Establezca este valor para que coincida con la URL que ingresó en el cuadro URL to Access Ops Manager.

IMPORTANTE: Asegúrate de actualizar tanto esta propiedad como el cuadro URL to Access Ops Manager. Ambos valores deben coincidir. Si la supervisión y la copia de seguridad están habilitados para el MongoDB Agent, utilizan el URL to Access Ops Manager configurado en el servidor de Ops Manager, a menos que el ajuste personalizado de supervisión mmsBaseURL esté definido para el MongoDB Agent. Para obtener más información, consulte las Configuraciones de supervisión del MongoDB Agent.

tlsRequireValidMMSServerCertificates

Condicional

Establezca este valor en true si se aplican todas las condiciones siguientes:

  • Quieres que el agente valide los certificados TLS de Ops Manager.

  • Firmó los certificados TLS de sus hosts de Ops Manager con una autoridad de certificación externa conocida o una autoridad de certificación autofirmada.

Si establece este valor en,true debe httpsCAFile establecer.

httpsCAFile

Condicional

Si utilizas tus propios archivos de Autoridad Certificadora autofirmada .pem, añade esta propiedad y configúrala en la ruta absoluta de tu archivo de Autoridad Certificadora en el host MongoDB.

IMPORTANTE: Este archivo de Autoridad de Certificación debe estar en la misma ubicación en cada host de MongoDB en el mismo clúster o set de réplicas. Cualquier host de MongoDB que no tenga el archivo en la misma ubicación de archivo que los demás puede quedar inaccesible.

Agregue la Autoridad de Certificación para el certificado downloads.mongodb.com a este archivo .pem si:

  1. Tu MongoDB agentes deben descargar su MongoDB
    instaladores de Internet,

  2. Utiliza TLS para cifrar las conexiones y

  3. Firma tus certificados con una CA privada. (Has configurado la opción httpsCAFile.)

Para aprender a descargar certificados TLS de otro sitio web, consulta la entrada del Cookbook de OpenSSL.

tlsMMSServerClientCertificate

Condicional

Si configuras Client Certificate Mode en Ops Manager como Required for Agents Only o Required for All Requests, añade este valor y especifica la ruta absoluta al archivo que contiene la llave privada del cliente, el certificado y los certificados intermedios opcionales en formato .pem.

tlsMMSServerClientCertificatePassword

Condicional

Si has cifrado el archivo tlsMMSServerClientCertificate .pem, proporciona la contraseña necesaria para descifrarlo.

3

Haga clic Save

4

Reiniciar el MongoDB Agent

Deshabilitar TLS para un conjunto de réplicas

Para desactivar TLS para un set de réplicas con Ops Manager, sigue los siguientes pasos:

1

Acceder a la configuración del proyecto

Navega a la configuración del Proyecto de tu set de réplicas en Ops Manager.

2

Ir a la configuración de seguridad

Ve a la pestaña Seguridad y selecciona Configuración.

3

Desactivar TLS

Mueva el control deslizante de Seguridad de la capa de transporte en la implementación de MongoDB (TLS) a DESACTIVADO.

Importante

Elimine los caminos relacionados con archivos CA o certificados, o déjelos en blanco.

4

Revisar e implementar

Para revisar sus cambios, haga clic en Revisar y implementar.

Para confirmar los cambios,haga clic en Confirmar e implementar.

5

Monitorear cambios

Después de la implementación, supervise su conjunto de réplicas para asegurarse de que las conexiones funcionen como se espera sin TLS.

Volver

Cifrar credenciales de usuario

Next

Base de datos de aplicaciones seguras

En esta página