Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

Habilitar TLS para una implementación

Para que Ops Manager supervise, implemente o haga una copia de seguridad de una implementación de MongoDB que use TLS, debes habilitar TLS para el proyecto de Ops Manager.

Considerations

Temas fuera del alcance

Una descripción completa de Seguridad de capa de transporte (TLS), infraestructura de llave pública, X.509 certificados, y Autoridades Certificadoras excede el alcance de este tutorial. Este tutorial asume conocimientos previos de TLS y acceso a certificados válidos X.509.

Nota

Si desea Para restablecer la configuración de autenticación y TLS para su proyecto, primero deje de administrar cualquier implementación de MongoDB que Ops Manager administre en su proyecto.

Requisito previo

Obtén e instala el certificado TLS en cada host de MongoDB

Adquirir un certificado TLS para cada host que ejecute un proceso de MongoDB. Este certificado debe incluir el FQDN para el hostname de este host de MongoDB. El FQDN debe ser el Nombre Alternativo del Sujeto de este host. Debes instalar este certificado TLS en el host de MongoDB.

Advertencia

El Agente de MongoDB a partir de la versión 11.12.0.7384 requiere que los certificados TLS incluyan un valor en el campo Nombre Alternativo del Sujeto. Antes de actualizar a 11.12.0.7384, asegúrate de que todos los certificados TLS que se utilicen en tu implementación de MongoDB contengan un SAN. Para obtener más información, consulte Garantizar que los certificados TLS contengan un Nombre Alternativo del Sujeto.

Procedimientos

Importante

Tienes que completar:

  1. Configurar las implementaciones existentes para usar TLS y, a continuación,

  2. Habilitar TLS para el Proyecto

antes de hacer clic Review & Deploy.

Configura las implementaciones existentes para usar TLS

Importante

Con la configuración Client Certificate Mode, puedes establecer si el cliente debe presentar un certificado TLS para conectarse a las implementaciones en tu proyecto. Si activas TLS para tu proyecto, todas las implementaciones deben usar TLS.

Para habilitar TLS en implementaciones existentes de MongoDB en tu proyecto de Ops Manager:

1

Navegue a la Clusters vista para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haga clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expandir la Advanced Configuration Options sección.

4

Configura las opciones de inicio TLS/SSL.

  1. Haga clic en Add Option para agregar cada una de las siguientes opciones:

    Opción
    Requerido
    Valor

    tlsMode

    Requerido

    Seleccione requireTLS.

    tlsCertificateKeyFile

    Requerido

    Proporcione la ruta absoluta al certificado del servidor.

    tlsCertificateKeyFilePassword

    Requerido

    Proporcione la contraseña del archivo de clave PEM si lo cifró.

    IMPORTANTE: Si la clave privada cifrada para el archivo de certificado .pem está en formato PKCS nº8, debe utilizar operaciones de cifrado PBES2. El MongoDB Agent no admite PKCS #8 con otras operaciones de encriptación.

    tlsFIPSMode

    Opcional

    Seleccione true si desea habilitar el modo FIPS.

  2. Después de agregar cada opción, haga clic en Add.

  3. Cuando haya agregado las opciones necesarias, haga clic en Save.

Habilitar TLS para el proyecto

1

Navegue al cuadro de diálogo Security Settings para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haz clic en la pestaña Security.

  2. Haz clic en la pestaña Settings.

  3. Realiza una de las siguientes acciones:

    • Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.

    • Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

2

Elige tus mecanismos de autenticación.

  1. En la pantalla Select Authentication Mechanisms, activa uno o más mecanismos de autenticación.

    TLS funciona con todos los mecanismos de autenticación.

  2. Haga clic en Next.

3

Especifique la configuración de TLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Active este control deslizante para ON.

Ruta de archivo CA TLS

El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato .pemque contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación.

La clave privada cifrada para el archivo de certificado .pem debe estar en formato PKCS #1. MongoDB Agent no es compatible con el formato PKCS #8.

Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla.

Esto habilita la configuración para los procesos MongoDB en el net.tls.CAFile proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especifica, el clúster utiliza net.tls.clusterCAFile el .pem archivo especificado en la net.tls.CAFile opción.

net.tls.clusterCAFile Le permite utilizar autoridades de certificación independientes para verificar las partes de cliente a servidor y de servidor a cliente del protocolo de enlace TLS.

Modo de certificado de cliente

Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no estableces el mongod tlsMode en None.

Requerido

Cada implementación de MongoDB en este proyecto se inicia con conexiones de red cifradas con TLS. Todos los Agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

4

Configura los agentes de MongoDB.

  1. En la lista Agent Auth Mechanism, haz clic en los mismos mecanismos de autenticación que hiciste para el proyecto.

  2. Siga el procedimiento para configurar el Agente MongoDB para utilizar ese método de autenticación:

Nota

Si tenía certificados TLS para agentes heredados, consulte ¿Qué sucede si tenía certificados TLS para agentes de respaldo o monitoreo heredados? al final de este procedimiento para obtener orientación.

5

Haz clic en Save para guardar tus cambios.

6

Haga clic Review & Deploy en para revisar sus cambios.

Ops Manager muestra los cambios propuestos.

  1. Si estás satisfecho, haz clic en Confirm & Deploy.

  2. Si desea realizar más cambios de configuración, haga clic en Cancel. Haga clic en Modify para que el clúster realice cambios adicionales.

  • Si actualizaste al MongoDB Agent desde implementaciones que utilizaban automatización, MongoDB Agent administra la configuración de TLS.

  • Si actualizaste al MongoDB Agent desde implementaciones que no usaban Automatización, pero tenías agentes de copias de seguridad, agentes de supervisión o ambos, puedes configurar tus ajustes específicos del agente de copias de seguridad y del agente de supervisión durante la actualización del agente o mediante el procedimiento siguiente:

    1. Navegar Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration a.

    2. Haz clic en .

    3. En la sección Backup Configurations:

      1. Escribe la configuración deseada en el cuadro Setting y su valor correspondiente en el cuadro Value.

      2. Para añadir más de uno Setting, haga clic en el enlace + Add Setting. Aparece otra fila.

      3. Repita hasta que se hayan agregado todos los ajustes.

    4. En la sección Monitoring Configurations:

      1. Escriba la configuración deseada en el Setting cuadro y el valor correspondiente en el Value cuadro.

      2. Para añadir más de uno Setting, haga clic en el enlace + Add Setting. Aparece otra fila.

      3. Repita hasta que se hayan agregado todos los ajustes.

    Puedes hacer clic en el para remover cualquier configuración que hayas añadido.

Volver

Base de datos de aplicaciones seguras

Next

Configurar LDAP

En esta página