Configurar conexiones TLS a Ops Manager

Esta versión de la documentación está archivada y ya no se admite. Ver la Documentación actual para aprender cómo actualizar su versión de MongoDB Ops Manager.

Puede configurar Ops Manager para cifrar las conexiones de todos los agentes de MongoDB a Ops Manager, de los clientes del sitio web a la aplicación Ops Manager y de Clientes API a la API REST.

Para cifrar conexiones, puedes:

Configura un proxy HTTPS delante de Ops Manager, o
Ejecute la aplicación Ops Manager a través de HTTPS, como se describe en esta página.

El siguiente procedimiento configura Ops Manager con un .pem archivo que contiene el certificado TLS del host de Ops Manager.

El agente MongoDB utiliza HTTPS después de completar exitosamente el procedimiento.

Tip

Para obtener más información sobre .pem los archivos, lea la sección del archivo .pem en el manual de MongoDB.

Requisitos previos

Actualice o instale el Agente MongoDB.
Agregue cualquier configuración personalizada relacionada con TLSa su configuración del Agente MongoDB.

Configuración de la aplicación de Ops Manager para TLS

Cargue el archivo de certificado en cada host de Ops Manager.

Sube tu .pem archivo a cada host de la aplicación Ops Manager. Este certificado debe subirse a cada host de Ops Manager para que puedan aceptar conexiones TLS.
Cambie el propietario del archivo .pem al usuario y grupo que poseen el proceso Ops Manager.
Cambie los permisos del archivo .pem para que solo el propietario del archivo pueda leerlo y escribirlo.

Activa TLS para la aplicación Ops Manager.

Haga clic Admin en la aplicación Ops Manager para ver la interfaz Admin.
Haz clic en la pestaña General
Haga clic en Ops Manager Config.
Haga clic en Web Server & Email.

Establezca las siguientes opciones bajo el encabezado Web Server:

Opción

Acción

URL to Access Ops Manager

Proporcione la URL completa para la aplicación Ops Manager, incluido el puerto 8443 para acceso HTTPS.

Por ejemplo:

https://opsmanager.example.com:8443

HTTPS PEM Key File

Escriba la ruta absoluta del sistema de archivos donde se encuentra el archivo .pem en todos los hosts de Ops Manager en este cuadro.

HTTPS PEM Key File Password

Si cifró el archivo de clave PEM HTTPS, escriba la contraseña necesaria para descifrarlo en este cuadro.

Client Certificate Mode

Selecciona si las aplicaciones cliente o los Agentes MongoDB deben presentar un certificado TLS al conectarse a un Ops Manager con TLShabilitado. Ops Manager verifica los certificados de estos hosts clientes cuando intentan conectarse. Si eliges exigir los certificados TLS de los clientes, asegúrate de que sean válidos.

Los valores aceptados son:

None
Required for Agents Only
Required for All Requests

Haga clic en Save.

(Opcional) Cambia la versión mínima de TLS.

En Ops Manager Server 4.4.13 y versiones posteriores, la aplicación Ops Manager requiere que sus clientes utilicen la versión TLS 1.2 de forma predeterminada.

Para cambiar la versión mínima de TLS:

Haga clic en Admin en la aplicación Ops Manager para ver la interfaz Admin.
Haz clic en la pestaña General
Haga clic en Ops Manager Config.
Haga clic en Custom.
Configure la versión mínima de TLS.
Introduzca en mms.minimumTLSVersion el Key cuadro.
Introduce una versión mínima de TLS en el recuadro Value.
Se aceptan los siguientes valores:
- TLSv1
- TLSv1.1
- TLSv1.2
Haga clic en Save.

(Opcional) Especifique qué conjuntos de cifrado TLS desea excluir.

Para excluir conjuntos de cifrado TLS específicos de las conexiones TLS con la aplicación Ops Manager.

Haga clic en Admin en la aplicación Ops Manager para ver la interfaz Admin.
Haz clic en la pestaña General
Haga clic en Ops Manager Config.
Haga clic en Custom.
Introduzca en mms.disableCiphers el Key cuadro.
Introduzca una lista separada por comas de conjuntos de cifrado que desea deshabilitar en el cuadro Value.
Importante
Los nombres de conjuntos de cifrado utilizados en Ops Manager deben cumplir con el RFC 5246 Convenciones de nomenclatura. No utilice la convención de nomenclatura OpenSSL.
Por ejemplo, utilice TLS_RSA_WITH_NULL_SHA256, no NULL-SHA256.
Haga clic en Save.

Reinicie cada host de Ops Manager para habilitar TLS.

Reinicia la aplicación de Ops Manager de acuerdo a las instrucciones para Iniciar y detener la aplicación de Ops Manager.

Configurar agentes de MongoDB para usar TLS

En cada host MongoDB de su clúster:

Abra el archivo de configuración del Agente MongoDB en su editor de texto preferido.

La ubicación del archivo de configuración del agente MongoDB depende de su plataforma:

/path/to/install/local.config

/etc/mongodb-mms/automation-agent.config

/etc/mongodb-mms/automation-agent.config

/path/to/install/local.config

`mmsBaseUrl` Cambiar la configuración de y TLS.

Establezca o agregue las siguientes propiedades donde sea necesario:

Opción	Necesidad	Acción
mmsbaseurl	Requerido	Establezca este valor para que coincida con la URL ingresada en el URL to Access Ops Manager cuadro. IMPORTANTE: Asegúrese de actualizar tanto esta propiedad como la URL to Access Ops Manager casilla. Ambos valores deben coincidir. Si la monitorización y la copia de seguridad están habilitadas para el agente de MongoDB, se utiliza el valor URL to Access Ops Manager configurado en el servidor de Ops Manager, a menos que la configuración de `mmsBaseURL` monitorización personalizada esté configurada para el agente de MongoDB. Para obtener más información, consulte la configuración de monitorización del agente de MongoDB.
`tlsRequireValidMMSServerCertificates`	Condicional	Establezca este valor en `true` si se cumplen todas las siguientes condiciones: Desea que el agente valide los certificados TLS de Ops Manager. Firmó los certificados TLS de sus hosts de Ops Manager con una autoridad de certificación externa conocida o una autoridad de certificación autofirmada. Si establece este valor en,`true` debe `httpsCAFile` establecer.
`httpsCAFile`	Condicional	Si está utilizando sus propios archivos de autoridad de certificación autofirmados `.pem`, agregue esta propiedad y configúrela en la ruta absoluta a su archivo de autoridad de certificación en el host de MongoDB. IMPORTANTE: Este archivo de autoridad de certificación debe estar en la misma ubicación en cada host MongoDB del mismo clúster fragmentado o conjunto de réplicas. Cualquier host MongoDB que no tenga el archivo en la misma ubicación que los demás podría quedar inaccesible. Agregue la autoridad de certificación para el certificado `downloads.mongodb.com` a este archivo `.pem` si: Necesita que sus agentes MongoDB descarguen su MongoDB instaladores de Internet, Utilice TLS para cifrar las conexiones y Firmó sus certificados con una CA privada. (Configuró la opción `httpsCAFile`). Para saber cómo descargar certificados TLS desde otro sitio web, consulte la entrada del Libro de recetas de OpenSSL.
`tlsMMSServerClientCertificate`	Condicional	Si establece Client Certificate Mode en Ops Manager en `Required for Agents Only` o `Required for All Requests`, agregue este valor y especifique la ruta absoluta al archivo que contiene la clave privada del cliente, el certificado y los certificados intermedios opcionales en formato `.pem`.
`tlsMMSServerClientCertificatePassword`	Condicional	Si cifró el `tlsMMSServerClientCertificate` `.pem` archivo, proporcione la contraseña necesaria para descifrarlo.

Haga clic en Save.

Reinicie el agente MongoDB.

Volver

Cifrar credenciales de usuario

Base de datos de aplicaciones seguras

Tip