Puede configurar Ops Manager para cifrar las conexiones de todos los Agentes MongoDB a Ops Manager, de los clientes del sitio web a la Aplicación Ops Manager y de API clientes de la interfaz de programación de aplicaciones (API) REST API.
Para cifrar las conexiones, puedes:
Configura un proxy HTTPS delante de Ops Manager, o
Ejecute la aplicación Ops Manager a través de HTTPS, como se describe en esta página.
El siguiente procedimiento configura Ops Manager con un .pem archivo que contiene el certificado TLS del host de Ops Manager.
El MongoDB Agent utiliza HTTPS después de completar correctamente el procedimiento.
Tip
Para aprender más sobre los archivos .pem, leer el
sección del archivo .pem en el manual de MongoDB.
Requisitos previos
Actualiza a o instala el MongoDB Agent.
Agregue cualquier TLS-relacionada configuración personalizada a su configuración del MongoDB Agent.
Configuración de la aplicación de Ops Manager para TLS
Carga el archivo del certificado en cada host de Ops Manager
Sube tu archivo
.pema cada host de Ops Manager aplicación. Este certificado debe ser cargado en cada host de Ops Manager para que puedan aceptar conexiones TLSCambie el propietario del archivo
.pema los mismos del proceso Ops ManagerCambia los permisos del archivo
.pempara que solo el propietario del archivo pueda leerlo y escribirlo
Habilite TLS para la aplicación Ops Manager
Haga clic Admin en la aplicación Ops Manager para ver la interfaz Admin
Haz clic en la pestaña General
Haga clic Ops Manager Config
Haga clic Web Server & Email
Establezca las siguientes opciones bajo el encabezado Web Server:
OpciónAcciónProporciona la URL completa de la aplicación Ops Manager, incluido el puerto
8443, para el acceso por HTTPS.Por ejemplo:
https://opsmanager.example.com:8443 Escribe la ruta absoluta del sistema de archivos donde se encuentra el archivo
.pemen todos los hosts de Ops Manager en este cuadro.Si cifró el HTTPS PEM Archivo de clave, escriba la contraseña necesaria para descifrarlo en este cuadro.
Selecciona si las aplicaciones cliente o los Agentes MongoDB deben presentar un certificado TLS al conectarse a un Ops Manager con TLShabilitado. Ops Manager verifica los certificados de estos hosts clientes cuando intentan conectarse. Si eliges exigir los certificados TLS de los clientes, asegúrate de que sean válidos.
Los valores aceptados son:
None
Required for Agents Only
Required for All Requests
Haga clic Save
(Opcional) Cambia la versión mínima de TLS
En Ops Manager Server 4.4.13 y posteriores, la aplicación Ops Manager requiere que sus clientes utilicen la versión TLS 1.2 por defecto.
Para cambiar la versión mínima de TLS:
Haga clic en Admin en la aplicación Ops Manager para ver la interfaz de
AdminHaz clic en la pestaña General
Haga clic Ops Manager Config
Haga clic Custom
Configurar la versión mínima de TLS
Ingresa
mms.minimumTLSVersionen el cuadro de KeyIngrese una versión mínima de TLS en la casilla Value
Se aceptan los siguientes valores:
TLSv1TLSv1.1TLSv1.2
Haga clic Save
(Opcional) Especifique las suites de cifrado TLS que desea excluir
Para excluir conjuntos de cifrado de TLS específicos de las conexiones TLS con la aplicación de Ops Manager.
Haga clic en Admin en la aplicación Ops Manager para ver la interfaz de
AdminHaz clic en la pestaña General
Haga clic Ops Manager Config
Haga clic Custom
Ingresa
mms.disableCiphersen el cuadro de KeyIngrese una lista separada por comas de los paquetes de cifrado a desactivar en el campo Value
Importante
Los nombres de los conjuntos de cifrado utilizados en Ops Manager deben seguir RFC 5246 convenciones de nomenclatura. No use la convención de nomenclatura de OpenSSL.
Por ejemplo, utiliza
TLS_RSA_WITH_NULL_SHA256, noNULL-SHA256.Haga clic Save
Reinicie cada host de Ops Manager para habilitar TLS
Reinicia la aplicación de Ops Manager de acuerdo a las instrucciones para Iniciar y detener la aplicación de Ops Manager.
Configura los Agentes de MongoDB para usar TLS
En cada host de MongoDB en tu clúster:
Abra el archivo de configuración de MongoDB Agent en su editor de texto preferido
La ubicación del archivo de configuración del MongoDB Agent depende de tu plataforma:
/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
Cambia la configuración de mmsBaseUrl y TLS
Configura o agrega las siguientes propiedades donde sea necesario:
Opción | Necesidad | Acción |
|---|---|---|
Requerido | Establezca este valor para que coincida con la URL que ingresó en el cuadro URL to Access Ops Manager. IMPORTANTE: Asegúrate de actualizar tanto esta propiedad como el cuadro URL to Access Ops Manager. Ambos valores deben coincidir. Si la supervisión y la copia de seguridad están habilitados para el MongoDB Agent, utilizan el URL to Access Ops
Manager configurado en el servidor de Ops Manager, a menos que el ajuste personalizado de supervisión | |
Condicional | Establezca este valor en
Si estableces este valor a | |
Condicional | Si utilizas tus propios archivos de Autoridad Certificadora autofirmada IMPORTANTE: Este archivo de Autoridad de Certificación debe estar en la misma ubicación en cada host de MongoDB en el mismo clúster o set de réplicas. Cualquier host de MongoDB que no tenga el archivo en la misma ubicación de archivo que los demás puede quedar inaccesible. Agregue la Autoridad de Certificación para el certificado
Para aprender a descargar certificados TLS de otro sitio web, consulta la entrada del Cookbook de OpenSSL. | |
Condicional | Si configuras Client Certificate Mode en Ops Manager como | |
Condicional | Si has cifrado el archivo |
Desactive TLS para un set de réplicas
Para desactivar TLS para un set de réplicas con Ops Manager, sigue los siguientes pasos: