Puede configurar Ops Manager para cifrar las conexiones de todos los agentes de MongoDB a Ops Manager, de los clientes del sitio web a la aplicación Ops Manager y de Clientes API a la API REST.
Para cifrar conexiones, puedes:
Configura un proxy HTTPS delante de Ops Manager, o
Ejecute la aplicación Ops Manager a través de HTTPS, como se describe en esta página.
El siguiente procedimiento configura Ops Manager con un .pem archivo que contiene el certificado TLS del host de Ops Manager.
El agente MongoDB utiliza HTTPS después de completar exitosamente el procedimiento.
Tip
Para obtener más información sobre los archivos .pem, lea el
Sección del archivo .pem en el manual de MongoDB.
Requisitos previos
Actualice o instale el Agente MongoDB.
Agregue cualquier configuración personalizada relacionada con TLSa su configuración del Agente MongoDB.
Configuración de la aplicación de Ops Manager para TLS
Subir el archivo de certificado a cada host de Ops Manager
Sube tu
.pemarchivo a cada host de la aplicación Ops Manager. Este certificado debe subirse a cada host de Ops Manager para que puedan aceptar conexiones TLS.Cambie el propietario del archivo
.pemal usuario y grupo que posee el proceso Ops ManagerCambie los permisos del archivo
.pempara que solo el propietario del archivo pueda leerlo y escribirlo
Habilitar TLS para la aplicación Ops Manager
Haga clic Admin en la aplicación Ops Manager para ver la interfaz Admin
Haz clic en la pestaña General
Haga clic Ops Manager Config
Haga clic Web Server & Email
Establezca las siguientes opciones bajo el encabezado Web Server:
OpciónAcciónProporcione la URL completa para la aplicación Ops Manager, incluido el puerto
8443para acceso HTTPS.Por ejemplo:
https://opsmanager.example.com:8443 Escriba la ruta absoluta del sistema de archivos donde se encuentra el archivo
.pemen todos los hosts de Ops Manager en este cuadro.Si cifró el archivo de clave PEM HTTPS, escriba la contraseña necesaria para descifrarlo en este cuadro.
Selecciona si las aplicaciones cliente o los Agentes MongoDB deben presentar un certificado TLS al conectarse a un Ops Manager con TLShabilitado. Ops Manager verifica los certificados de estos hosts clientes cuando intentan conectarse. Si eliges exigir los certificados TLS de los clientes, asegúrate de que sean válidos.
Los valores aceptados son:
None
Required for Agents Only
Required for All Requests
Haga clic Save
(Opcional) Cambiar la versión mínima de TLS
En Ops Manager Server 4.4.13 y versiones posteriores, la aplicación Ops Manager requiere que sus clientes utilicen la versión TLS 1.2 de forma predeterminada.
Para cambiar la versión mínima de TLS:
Haga clic en Admin en la aplicación Ops Manager para ver la interfaz
AdminHaz clic en la pestaña General
Haga clic Ops Manager Config
Haga clic Custom
Configurar la versión mínima de TLS
Introduzca en
mms.minimumTLSVersionel Key cuadroIntroduzca una versión mínima de TLS en el Value cuadro
Se aceptan los siguientes valores:
TLSv1TLSv1.1TLSv1.2
Haga clic Save
(Opcional) Especifique las suites de cifrado TLS que desea excluir
Para excluir conjuntos de cifrado TLS específicos de las conexiones TLS con la aplicación Ops Manager.
Haga clic en Admin en la aplicación Ops Manager para ver la interfaz
AdminHaz clic en la pestaña General
Haga clic Ops Manager Config
Haga clic Custom
Introduzca en
mms.disableCiphersel Key cuadroIntroduzca una lista separada por comas de conjuntos de cifrado para deshabilitar en el cuadro Value
Importante
Los nombres de conjuntos de cifrado utilizados en Ops Manager deben cumplir con el RFC 5246 Convenciones de nomenclatura. No utilice la convención de nomenclatura OpenSSL.
Por ejemplo, utilice
TLS_RSA_WITH_NULL_SHA256, noNULL-SHA256.Haga clic Save
Reinicie cada host de Ops Manager para habilitar TLS
Reinicia la aplicación de Ops Manager de acuerdo a las instrucciones para Iniciar y detener la aplicación de Ops Manager.
Configurar agentes de MongoDB para usar TLS
En cada host MongoDB de su clúster:
Abra el archivo de configuración del agente MongoDB en su editor de texto preferido
La ubicación del archivo de configuración del agente MongoDB depende de su plataforma:
/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
Cambiar mmsBaseUrl la configuración de y TLS
Establezca o agregue las siguientes propiedades donde sea necesario:
Opción | Necesidad | Acción |
|---|---|---|
Requerido | Establezca este valor para que coincida con la URL ingresada en el URL to Access Ops Manager cuadro. IMPORTANTE: Asegúrese de actualizar tanto esta propiedad como la URL to Access Ops Manager casilla. Ambos valores deben coincidir. Si la monitorización y la copia de seguridad están habilitadas para el agente de MongoDB, se utiliza el valor URL to Access Ops
Manager configurado en el servidor de Ops Manager, a menos que la configuración de | |
Condicional | Establezca este valor en
Si establece este valor en, | |
Condicional | Si está utilizando sus propios archivos de autoridad de certificación autofirmados IMPORTANTE: Este archivo de autoridad de certificación debe estar en la misma ubicación en cada host MongoDB del mismo clúster fragmentado o conjunto de réplicas. Cualquier host MongoDB que no tenga el archivo en la misma ubicación que los demás podría quedar inaccesible. Agregue la autoridad de certificación para el certificado
Para saber cómo descargar certificados TLS desde otro sitio web, consulte la entrada del Libro de recetas de OpenSSL. | |
Condicional | Si establece Client Certificate Mode en Ops Manager en | |
Condicional | Si cifró el |
Deshabilitar TLS para un conjunto de réplicas
Para deshabilitar TLS para un conjunto de réplicas con Ops Manager, realice los siguientes pasos: