Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gestión
/
Gerente de Operaciones
/
Seguridad

Habilitar TLS para una implementación

Para que Ops Manager supervise, implemente o haga una copia de seguridad de una implementación de MongoDB que use TLS, debes habilitar TLS para el proyecto de Ops Manager.

Considerations

Temas fuera del alcance

Una descripción completa de Seguridad de capa de transporte (TLS), infraestructura de llave pública, X.509 certificados, y Autoridades Certificadoras excede el alcance de este tutorial. Este tutorial asume conocimientos previos de TLS y acceso a certificados válidos X.509.

Nota

Si quieres restablecer la autenticación y la configuración de TLS para tu proyecto, primero desvincula cualquier implementación de MongoDB que Ops Manager gestione en tu proyecto.

Requisito previo

Obtén e instala el certificado TLS en cada host de MongoDB

Adquirir un certificado TLS para cada host que ejecute un proceso de MongoDB. Este certificado debe incluir el FQDN para el hostname de este host de MongoDB. El FQDN debe ser el Nombre Alternativo del Sujeto de este host. Debes instalar este certificado TLS en el host de MongoDB.

Advertencia

El Agente de MongoDB a partir de la versión 11.12.0.7384 requiere que los certificados TLS incluyan un valor en el campo Nombre Alternativo del Sujeto. Antes de actualizar a 11.12.0.7384, asegúrate de que todos los certificados TLS que se utilicen en tu implementación de MongoDB contengan un SAN. Para obtener más información, consulte Garantizar que los certificados TLS contengan un Nombre Alternativo del Sujeto.

Procedimientos

Importante

Tienes que completar:

  1. Configurar las implementaciones existentes para usar TLS y, a continuación,

  2. Habilitar TLS para el Proyecto

antes de hacer clic Review & Deploy.

Configura las implementaciones existentes para usar TLS

Importante

Con la configuración Client Certificate Mode, puedes establecer si el cliente debe presentar un certificado TLS para conectarse a las implementaciones en tu proyecto. Si activas TLS para tu proyecto, todas las implementaciones deben usar TLS.

Para habilitar TLS en implementaciones existentes de MongoDB en tu proyecto de Ops Manager:

1

Navegue hasta la vista Clusters de su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haz clic en la vista Clusters.

2

En la línea que enumera el proceso, haz clic en Modify.

3

Expande la sección Advanced Configuration Options.

4

Configura las opciones de inicio TLS/SSL.

  1. Haga clic en Add Option para agregar cada una de las siguientes opciones:

    Opción
    Requerido
    Valor

    tlsMode

    Requerido

    Seleccione requireTLS.

    tlsCertificateKeyFile

    Requerido

    Proporcione la ruta absoluta al certificado del servidor.

    tlsCertificateKeyFilePassword

    Requerido

    Proporcione la contraseña del archivo de clave PEM si lo cifró.

    IMPORTANTE: Si la clave privada cifrada para el archivo de certificado .pem está en formato PKCS nº8, debe utilizar operaciones de cifrado PBES2. El MongoDB Agent no admite PKCS #8 con otras operaciones de encriptación.

    tlsFIPSMode

    Opcional

    Seleccione true si desea habilitar el modo FIPS.

  2. Después de añadir cada opción, hacer clic en Add.

  3. Cuando hayas agregado las opciones requeridas, haz clic en Save.

Activo TLS para el proyecto

1

Navegue al cuadro de diálogo Security Settings para su implementación.

  1. Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, se debe seleccionar el proyecto deseado en el menú Projects de la barra de navegación.

  3. Si aún no se muestra, haz clic en Deployment en la barra lateral.

  1. Haz clic en la pestaña Security.

  2. Haz clic en la pestaña Settings.

  3. Realiza una de las siguientes acciones:

    • Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.

    • Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.

2

Elige tus mecanismos de autenticación.

  1. En la pantalla Select Authentication Mechanisms, activa uno o más mecanismos de autenticación.

    TLS funciona con todos los mecanismos de autenticación.

  2. Haga clic en Next.

3

Especifique la configuración de TLS.

Campo
Acción

Seguridad de capa de transporte de implementación de MongoDB (TLS)

Active este control deslizante para ON.

Ruta del archivo CA de TLS

El archivo de la Autoridad Certificadora TLS es un archivo de certificado en formato .pemque contiene la cadena de certificados raíz de la Autoridad Certificadora. El Agente de MongoDB utiliza este mismo archivo de Autoridad Certificadora para conectarse a todos los elementos en tu implementación.

La clave privada cifrada para el archivo de certificado .pem debe estar en formato PKCS #1. MongoDB Agent no es compatible con el formato PKCS #8.

Escriba la ruta del archivo hasta el archivo de la Autoridad Certificadora TLS en cada host que ejecute un proceso de MongoDB:

  • Escriba la ruta del archivo en todos los hosts Linux en el primer cuadro.

  • Escriba la ruta del archivo en todos los hosts de Windows en la segunda casilla.

Esto habilita la opción net.tls.CAFile para los procesos de MongoDB en el proyecto.

Haz clic en Validate para probar que cada host en tu implementación tenga una autoridad certificadora TLS en las rutas que especificaste.

Ruta del archivo CA TLS del clúster

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si no especificas el net.tls.clusterCAFile, el clúster utiliza el archivo .pem especificado en la opción net.tls.CAFile.

net.tls.clusterCAFile permite utilizar Autoridades de Certificación separadas para verificar las porciones de cliente a servidor y de servidor a cliente del apretón de manos TLS.

Modo de certificado de cliente

Seleciona si las aplicaciones cliente o los agentes de MongoDB deben presentar un certificado TLS al conectarse a una implementación de MongoDB habilitada para TLS. Cada implementación de MongoDB verifica los certificados de estos hosts clientes cuando intentan conectarse. Si opta por exigir los certificados TLS del cliente, asegúrese de que sean válidos.

Los valores aceptados son:

Opcional

Cada cliente puede presentar un certificado TLS válido al conectarse a implementaciones de MongoDB. Los agentes de MongoDB podrían usar certificados TLS si no estableces el mongod tlsMode en None.

Requerido

Cada implementación de MongoDB en este proyecto se inicia con conexiones de red cifradas con TLS. Todos los Agentes deben usar TLS para conectarse a cualquier implementación de MongoDB.

4

Configura los agentes de MongoDB.

  1. En la lista Agent Auth Mechanism, haz clic en los mismos mecanismos de autenticación que hiciste para el proyecto.

  2. Sigue el procedimiento para configurar el MongoDB Agent para que utilice ese método de autenticación:

Nota

Si disponía de certificados TLS para Agentes Heredados, consulte ¿Qué pasa si tenía certificados TLS para Agentes Heredados de Copia de seguridad o Monitorización? al final de este procedimiento para obtener orientación.

5

Haz clic en Save para guardar tus cambios.

6

Haz clic en Review & Deploy para revisar tus cambios.

Ops Manager muestra los cambios propuestos.

  1. Si estás satisfecho, haz clic en Confirm & Deploy.

  2. Si desea realizar cambios de configuración adicionales, haga clic en Cancel. Haz clic en Modify para que el clúster realice cambios adicionales.

  • Si actualizaste al MongoDB Agent desde implementaciones que utilizaban automatización, MongoDB Agent administra la configuración de TLS.

  • Si actualizaste al MongoDB Agent desde implementaciones que no usaban Automatización, pero tenías agentes de copias de seguridad, agentes de supervisión o ambos, puedes configurar tus ajustes específicos del agente de copias de seguridad y del agente de supervisión durante la actualización del agente o mediante el procedimiento siguiente:

    1. Navega hasta Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration.

    2. Haz clic en .

    3. En la sección Backup Configurations:

      1. Escribe la configuración deseada en el cuadro Setting y su valor correspondiente en el cuadro Value.

      2. Para añadir más de uno Setting, haga clic en el enlace + Add Setting. Aparece otra fila.

      3. Repita hasta que se hayan agregado todos los ajustes.

    4. En la sección Monitoring Configurations:

      1. Escriba el ajuste deseado en el cuadro Setting y el valor correspondiente en el cuadro Value.

      2. Para añadir más de uno Setting, haga clic en el enlace + Add Setting. Aparece otra fila.

      3. Repita hasta que se hayan agregado todos los ajustes.

    Puedes hacer clic en el para remover cualquier configuración que hayas añadido.

Volver

Base de datos de la aplicación segura

Next

Configurar LDAP

En esta página