Definición
Nuevo en la versión 5.0.
db.rotateCertificates(message)Rota los certificados TLS que se están utilizando actualmente para un
mongodomongospara usar los valores actualizados de estos certificados definidos en el archivo de configuración.db.rotateCertificates(message) El método
db.rotateCertificates()toma el siguiente argumento opcional:ParameterTipoDescripciónmessagestring
opcional Un mensaje registrado por el servidor en la entrada de registro y el archivo de auditar.
El método
db.rotateCertificates()envuelve el comandorotateCertificates.
Compatibilidad
Este método está disponible en implementaciones alojadas en los siguientes entornos:
Importante
Este comando no es compatible con los clústeres de MongoDB Atlas. Para obtener información sobre el soporte de Atlas para todos los comandos, consulta Comandos no compatibles.
MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.
Nota
Atlas rota automáticamente los certificados. No necesitas ejecutar el comando rotateCertificates cuando utilizas Atlas. Usa el comando rotateCertificates solo si quieres rotar los certificados manualmente.
Salida
El método db.rotateCertificates() retorna un documento con el siguiente campo:
Campo | Tipo | Descripción |
|---|---|---|
| bool | Contiene el estado de ejecución del comando. |
Comportamiento
La rotación incluye los siguientes certificados:
CRL (Certificate Revocation List) files(en las plataformas Linux y Windows)
Para rotar uno o más de estos certificados:
Se debe sustituir el certificado o los certificados que se desean rotar en el sistema de archivos, teniendo en cuenta las siguientes restricciones:
Cada nuevo certificado debe tener el mismo nombre de archivo y la misma ruta de archivo que el certificado que está reemplazando.
Si rota un certificado cifrado
TLS Certificate, su contraseña debe ser la misma que la contraseña del certificado antiguo (como se especifica en los ajustes del archivo de configuracióncertificateKeyFilePassword). La rotación de certificados admite a la solicitud de contraseña interactiva.
Se debe conectar
mongoshamongodo a la instanciamongosen la que se desee realizar la rotación de certificados.Ejecuta
db.rotateCertificates()para rotar los certificados utilizados por la instanciamongodomongos.
Cuando tiene lugar la rotación de certificados:
Las conexiones existentes a la instancia de
mongodomongosno se terminan y continuarán usando los certificados antiguos.Cualquier nueva conexión utilizará los nuevos certificados.
Si has configurado OCSP para tu implementación, el método db.rotateCertificates() también obtendrá respuestas OCSP adjuntas durante la rotación.
El método db.rotateCertificates() se puede ejecutar en un mongod o mongos en ejecución, independientemente del estado de replicación.
Solo puede ejecutarse una instancia de db.rotateCertificates() o rotateCertificates en cada proceso mongod o mongos a la vez. Intentar iniciar una segunda instancia mientras ya hay una en ejecución resultará en un error.
Los archivos de certificado incorrectos, caducados, revocados o ausentes harán que falle la rotación del certificado, pero no invalidarán la configuración TLS existente ni terminarán el proceso mongod o mongos en ejecución.
Si el mongod o mongos está ejecutándose con --tlsCertificateSelector configurado en thumbprint, db.rotateCertificates() fallará y guardará un mensaje de advertencia en la entrada de registro.
Registro
En caso de rotación exitosa, los nombres de sujetos, las huellas digitales y el período de validez de las huellas digitales de los certificados del servidor y del clúster se registran en el destino de registro configurado. Si la función de auditar está habilitada, esta información también se registra en el registro de auditoría.
En las plataformas Linux y Windows, si hay un CRL file presente, su huella digital y el periodo de validez también se registran en estas ubicaciones.
Acceso requerido
Debe tener la rotateCertificates acción para poder usar el método db.rotateCertificates(). La acción rotateCertificates forma parte del rol hostManager.
Ejemplo
La siguiente operación rota los certificados en una instancia mongod en funcionamiento, después de haber realizado las actualizaciones apropiadas en el archivo de configuración para especificar la información actualizada del certificado:
db.rotateCertificates()
Lo siguiente realiza la misma función que lo anterior, pero además escribe un mensaje de registro personalizado en el momento de la rotación en la entrada de registro y archivo de auditoría:
db.rotateCertificates("message": "Rotating certificates")