Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs Menu
Docs Home
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gerente de Operaciones
/
Seguridad
Docs Home
/
Gerente de Operaciones
/
Seguridad

Configurar conexiones TLS a Ops Manager

Puede configurar Ops Manager para cifrar las conexiones de todos los Agentes MongoDB a Ops Manager, de los clientes del sitio web a la Aplicación Ops Manager y de API clientes de la interfaz de programación de aplicaciones (API) REST API.

Para cifrar las conexiones, puedes:

  • Configura un proxy HTTPS delante de Ops Manager, o

  • Ejecute la aplicación Ops Manager a través de HTTPS, como se describe en esta página.

El siguiente procedimiento configura Ops Manager con un .pem archivo que contiene el certificado TLS del host de Ops Manager.

El MongoDB Agent utiliza HTTPS después de completar correctamente el procedimiento.

Tip

Para aprender más sobre los archivos .pem, consulta la sección de archivos .pem en el manual de MongoDB.

Requisitos previos

  • Actualiza a o instala el MongoDB Agent.

  • Agregue cualquier TLS-relacionada configuración personalizada a su configuración del MongoDB Agent.

Configuración de la aplicación de Ops Manager para TLS

1

Sube el archivo del certificado a cada host de Ops Manager.

  1. Carga tu archivo .pem en cada host de la aplicación Ops Manager. Este certificado debe subirse a cada host de Ops Manager para que puedan aceptar conexiones TLS.

  2. Cambia el propietario del archivo .pem al usuario y grupo que posee el proceso de Ops Manager.

  3. Cambia los permisos del archivo .pem para que sólo el propietario pueda leer y escribir el archivo.

2

Activa TLS para la aplicación Ops Manager.

  1. Haga clic Admin en la aplicación Ops Manager para ver la interfaz Admin.

  2. Haz clic en la pestaña General

  3. Haga clic en Ops Manager Config.

  4. Haga clic en Web Server & Email.

  5. Establezca las siguientes opciones bajo el encabezado Web Server:

    Opción
    Acción

    URL to Access Ops Manager

    Proporciona la URL completa de la aplicación Ops Manager, incluido el puerto 8443, para el acceso por HTTPS.

    Por ejemplo:

    https://opsmanager.example.com:8443

    HTTPS PEM Key File

    Escribe la ruta absoluta del sistema de archivos donde se encuentra el archivo .pem en todos los hosts de Ops Manager en este cuadro.

    HTTPS PEM Key File Password

    Si cifró el HTTPS PEM Archivo de clave, escriba la contraseña necesaria para descifrarlo en este cuadro.

    Client Certificate Mode

    Selecciona si las aplicaciones cliente o los Agentes MongoDB deben presentar un certificado TLS al conectarse a un Ops Manager con TLShabilitado. Ops Manager verifica los certificados de estos hosts clientes cuando intentan conectarse. Si eliges exigir los certificados TLS de los clientes, asegúrate de que sean válidos.

    Los valores aceptados son:

    • None

    • Required for Agents Only

    • Required for All Requests

  6. Haga clic en Save.

3

(Opcional) Cambia la versión mínima de TLS.

En Ops Manager Server 4.4.13 y posteriores, la aplicación Ops Manager requiere que sus clientes utilicen la versión TLS 1.2 por defecto.

Para cambiar la versión mínima de TLS:

  1. Haga clic en Admin en la aplicación Ops Manager para ver la interfaz Admin.

  2. Haz clic en la pestaña General

  3. Haga clic en Ops Manager Config.

  4. Haga clic en Custom.

  5. Configure la versión mínima de TLS.

  6. Introduce mms.minimumTLSVersion en el cuadro Key.

  7. Introduce una versión mínima de TLS en el recuadro Value.

    Se aceptan los siguientes valores:

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. Haga clic en Save.

4

(Opcional) Especifica qué conjuntos de cifrado TLS deseas excluir.

Para excluir conjuntos de cifrado de TLS específicos de las conexiones TLS con la aplicación de Ops Manager.

  1. Haga clic en Admin en la aplicación Ops Manager para ver la interfaz Admin.

  2. Haz clic en la pestaña General

  3. Haga clic en Ops Manager Config.

  4. Haga clic en Custom.

  5. Introduce mms.disableCiphers en el cuadro Key.

  6. Introduce una lista separada por comas de suites de cifrado para desactivar en el cuadro Value.

    Importante

    Los nombres de los conjuntos de cifrado utilizados en Ops Manager deben seguir RFC 5246 convenciones de nomenclatura. No use la convención de nomenclatura de OpenSSL.

    Por ejemplo, utiliza TLS_RSA_WITH_NULL_SHA256, no NULL-SHA256.

  7. Haga clic en Save.

5

Reinicie cada host de Ops Manager para habilitar TLS.

Reinicia la aplicación de Ops Manager de acuerdo a las instrucciones para Iniciar y detener la aplicación de Ops Manager.

Configura los Agentes de MongoDB para usar TLS

En cada host de MongoDB en tu clúster:

1

Abre el MongoDB Agent archivo de configuración en su editor de texto preferido.

La ubicación del archivo de configuración del MongoDB Agent depende de tu plataforma:

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

Cambie la configuración de mmsBaseUrl y TLS.

Configura o agrega las siguientes propiedades donde sea necesario:

Opción
Necesidad
Acción

mmsbaseurl

Requerido

Establezca este valor para que coincida con la URL que ingresó en el cuadro URL to Access Ops Manager.

IMPORTANTE: Asegúrate de actualizar tanto esta propiedad como el cuadro URL to Access Ops Manager. Ambos valores deben coincidir. Si la supervisión y la copia de seguridad están habilitados para el MongoDB Agent, utilizan el URL to Access Ops Manager configurado en el servidor de Ops Manager, a menos que el ajuste personalizado de supervisión mmsBaseURL esté definido para el MongoDB Agent. Para obtener más información, consulte las Configuraciones de supervisión del MongoDB Agent.

tlsRequireValidMMSServerCertificates

Condicional

Establezca este valor en true si se aplican todas las condiciones siguientes:

  • Quieres que el agente valide los certificados TLS de Ops Manager.

  • Firmó los certificados TLS de sus hosts de Ops Manager con una Autoridad Certificadora externa conocida o una Autoridad Certificadora autofirmada.

Si estableces este valor a true, debes establecer httpsCAFile.

httpsCAFile

Condicional

Si utilizas tus propios archivos de Autoridad Certificadora autofirmada .pem, añade esta propiedad y configúrala en la ruta absoluta de tu archivo de Autoridad Certificadora en el host MongoDB.

IMPORTANTE: Este archivo de Autoridad de Certificación debe estar en la misma ubicación en cada host de MongoDB en el mismo clúster o set de réplicas. Cualquier host de MongoDB que no tenga el archivo en la misma ubicación de archivo que los demás puede quedar inaccesible.

Agregue la Autoridad de Certificación para el certificado downloads.mongodb.com a este archivo .pem si:

  1. Tu MongoDB agentes deben descargar su MongoDB
    instaladores de Internet,

  2. Utiliza TLS para cifrar las conexiones y

  3. Firma tus certificados con una CA privada. (Has configurado la opción httpsCAFile.)

Para aprender a descargar certificados TLS de otro sitio web, consulta la entrada del Cookbook de OpenSSL.

tlsMMSServerClientCertificate

Condicional

Si configuras Client Certificate Mode en Ops Manager como Required for Agents Only o Required for All Requests, añade este valor y especifica la ruta absoluta al archivo que contiene la llave privada del cliente, el certificado y los certificados intermedios opcionales en formato .pem.

tlsMMSServerClientCertificatePassword

Condicional

Si has cifrado el archivo tlsMMSServerClientCertificate .pem, proporciona la contraseña necesaria para descifrarlo.

3

Haga clic en Save.

4

Reinicie el MongoDB Agent.

Volver

Cifrar credenciales de usuario

Next

Base de datos de la aplicación segura

En esta página