Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

Habilitar TLS para una implementación

Para que Ops Manager monitoree, implemente o respalde una implementación de MongoDB que utiliza TLS, debe habilitar TLS para el proyecto Ops Manager.

Considerations

Temas fuera del alcance

Una descripción completa de Seguridad de capa de transporte (TLS)La infraestructura de clave pública, los certificadosX.509 y las autoridades de 509 certificación exceden el alcance de este tutorial. Este tutorial presupone conocimientos previos de TLS y acceso a certificados X. válidos.

Nota

Si desea Para restablecer la configuración de autenticación y TLS para su proyecto, primero deje de administrar cualquier implementación de MongoDB que Ops Manager administre en su proyecto.

Requisito previo

Obtenga e instale el certificado TLS en cada host de MongoDB

Adquiera un certificado TLS para cada host que sirva a un proceso de MongoDB. Este certificado debe incluir el FQDN del nombre de host de este host de MongoDB. El FQDN debe ser el nombre alternativo del sujeto de este host. Debe instalar este certificado TLS en el host de MongoDB.

Advertencia

El Agente de MongoDB a partir de la versión 11.12.0.7384 requiere que los certificados TLS incluyan un valor en el campo Nombre alternativo del sujeto. Antes de actualizar a la 11.12.0.7384 versión, asegúrese de que todos los certificados TLS utilizados en su implementación de MongoDB contengan un SAN. Para obtener más información, consulte "Asegurarse de que los certificados TLS contengan un nombre alternativo del sujeto".

Procedimientos

Importante

Debes completar:

  1. Configure las implementaciones existentes para usar TLS y luego

  2. Habilitar TLS para el proyecto

antes de hacer clic Review & Deploy.

Configurar implementaciones existentes para usar TLS

Importante

Con la Client Certificate Mode configuración, puede configurar si el cliente debe presentar un certificado TLS para conectarse a las implementaciones de su proyecto. Si habilita TLS para su proyecto, todas las implementaciones deberán usar TLS.

Si desea habilitar TLS para implementaciones de MongoDB existentes en su proyecto de Ops Manager:

1

Navegue a la Clusters vista para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haga clic en Deployment en la barra lateral.

  1. Haga clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expandir la Advanced Configuration Options sección.

4

Establecer las opciones de inicio de TLS/SSL.

  1. Haga clic en Add Option para agregar cada una de las siguientes opciones:

    Opción
    Requerido
    Valor

    tlsMode

    Requerido

    Seleccione requireTLS.

    tlsCertificateKeyFile

    Requerido

    Proporcione la ruta absoluta al certificado del servidor.

    tlsCertificateKeyFilePassword

    Requerido

    Proporcione la contraseña del archivo de clave PEM si lo cifró.

    IMPORTANTE: Si la clave privada cifrada del .pem archivo de certificado está en formato PKCS #,8 debe utilizar operaciones de cifrado PBES. El Agente de MongoDB no admite PKCS 2 #8 con otras operaciones de cifrado.

    tlsFIPSMode

    Opcional

    true Seleccione si desea habilitar el modo FIPS.

  2. Después de agregar cada opción, haga clic en Add.

  3. Cuando haya agregado las opciones necesarias, haga clic en Save.

Habilitar TLS para el proyecto

1

Navegue hasta el Security Settings cuadro de diálogo para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haga clic en Deployment en la barra lateral.

  1. Haz clic en la pestaña Security.

  2. Haz clic en la pestaña Settings.

  3. Realice una de las siguientes acciones:

    • Si es la primera vez que configura TLS, autenticación o autorización para este proyecto, haga clic Get Started en.

    • Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.

2

Elige tus mecanismos de autenticación.

  1. En la Select Authentication Mechanisms pantalla, habilite uno o más mecanismos de autenticación.

    TLS funciona con todos los mecanismos de autenticación.

  2. Haga clic en Next.

3

Especifique la configuración deTLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Cambie este control deslizante a ON.

Ruta de archivo CA TLS

El archivo de la autoridad de certificación TLS es un archivo de certificado con formato que contiene la cadena de certificados raíz de la autoridad de certificación. El agente de MongoDB utiliza este mismo archivo de autoridad de certificación para conectarse a todos los elementos de su implementación..pem

La clave privada .pem cifrada del archivo de certificado debe tener el formato PKCS1 #. El agente de MongoDB no admite el formato PKCS #.8

Escriba la ruta del archivo de la autoridad de certificación TLS en cada host que ejecute un proceso MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en el segundo cuadro.

Esto habilita la configuración para los procesos MongoDB en el net.tls.CAFile proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especifica, el clúster utiliza net.tls.clusterCAFile el .pem archivo especificado en la net.tls.CAFile opción.

net.tls.clusterCAFile Le permite utilizar autoridades de certificación independientes para verificar las partes de cliente a servidor y de servidor a cliente del protocolo de enlace TLS.

Modo de certificado de cliente

Seleccione si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a implementaciones de MongoDB con TLS habilitado. Cada implementación de MongoDB comprueba si estos hosts cliente tienen certificados al intentar conectarse. Si decide requerir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no se configuran los mongod tlsMode valores None a.

Requerido

Cada implementación de MongoDB en este proyecto comienza con conexiones de red cifradas con TLS. Todos los agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

4

Configurar los agentes de MongoDB.

  1. En la lista Agent Auth Mechanism, haz clic en los mismos mecanismos de autenticación que hiciste para el proyecto.

  2. Siga el procedimiento para configurar el Agente MongoDB para utilizar ese método de autenticación:

Nota

Si tenía certificados TLS para agentes heredados, consulte ¿Qué sucede si tenía certificados TLS para agentes de respaldo o monitoreo heredados? al final de este procedimiento para obtener orientación.

5

Haga clic Save en para establecer sus cambios.

6

Haga clic Review & Deploy en para revisar sus cambios.

Ops Manager muestra los cambios propuestos.

  1. Si estás satisfecho, haz clic en Confirm & Deploy.

  2. Si desea realizar más cambios de configuración, haga clic en Cancel. Haga clic en Modify para que el clúster realice cambios adicionales.

  • Si actualizó al Agente MongoDB desde implementaciones que usaban Automatización, el Agente MongoDB administra las configuraciones de TLS.

  • Si actualizó al Agente MongoDB desde implementaciones que no usaban Automatización pero tenía Agentes de Respaldo, Agentes de Monitoreo o ambos,puede configurar sus configuraciones específicas del Agente de Respaldo y del Agente de Monitoreo durante la actualización del Agente o mediante el siguiente procedimiento:

    1. Navegar Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration a.

    2. Haz clic en .

    3. En la sección Backup Configurations:

      1. Escriba la configuración deseada en el Setting cuadro y su valor correspondiente en el Value cuadro.

      2. Para agregar más de un Setting, haga clic en el enlace + Add Setting. Aparecerá otra fila.

      3. Repita hasta que se hayan agregado todas las configuraciones.

    4. En la sección Monitoring Configurations:

      1. Escriba la configuración deseada en el Setting cuadro y el valor correspondiente en el Value cuadro.

      2. Para agregar más de un Setting, haga clic en el enlace + Add Setting. Aparecerá otra fila.

      3. Repita hasta que se hayan agregado todas las configuraciones.

    Puede hacer clic para eliminar cualquier configuración que haya agregado.

Volver

Base de datos de aplicaciones seguras

Next

Configurar LDAP

En esta página