Definición
Nuevo en la versión 5.0.
rotateCertificatesRota lo que se está utilizando actualmente Certificados TLS para un
mongodomongospara usar los valores actualizados de estos certificados definidos en el archivo de configuración.
Compatibilidad
Este comando está disponible en implementaciones alojadas en los siguientes entornos:
MongoDB Atlas: El servicio totalmente gestionado para implementaciones de MongoDB en la nube
Nota
Este comando es compatible con todos los clústeres de MongoDB Atlas. Para obtener información sobre el soporte de Atlas para todos los comandos, consulte Comandos no compatibles.
MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.
Nota
Atlas rota automáticamente los certificados. No necesitas ejecutar el comando rotateCertificates cuando utilizas Atlas. Usa el comando rotateCertificates solo si quieres rotar los certificados manualmente.
Sintaxis
El comando tiene la siguiente sintaxis:
db.runCommand( { rotateCertificates: 1, message: "<optional log message>" } )
Campos de comandos
El comando tiene el siguiente campo opcional:
Parameter | Tipo | Descripción |
|---|---|---|
| string | opcional Un mensaje registrado por el servidor en la entrada de registro y el archivo de auditar. |
Salida
El comando rotateCertificates devuelve un documento con el siguiente campo:
Campo | Tipo | Descripción |
|---|---|---|
| bool | Contiene el estado de ejecución del comando. |
Comportamiento
La rotación incluye los siguientes certificados:
CRL (Certificate Revocation List) files(en las plataformas Linux y Windows)
Para rotar uno o más de estos certificados:
Se debe sustituir el certificado o los certificados que se desean rotar en el sistema de archivos, teniendo en cuenta las siguientes restricciones:
Cada nuevo certificado debe tener el mismo nombre de archivo y la misma ruta de archivo que el certificado que está reemplazando.
Si rota un certificado cifrado
TLS Certificate, su contraseña debe ser la misma que la contraseña del certificado antiguo (como se especifica en los ajustes del archivo de configuracióncertificateKeyFilePassword). La rotación de certificados admite a la solicitud de contraseña interactiva.
Se debe conectar
mongoshamongodo a la instanciamongosen la que se desee realizar la rotación de certificados.Ejecute el comando
rotateCertificatespara rotar los certificados usados por la instancia demongodomongos.
Cuando tiene lugar la rotación de certificados:
Las conexiones existentes a la instancia de
mongodomongosno se terminan y continuarán usando los certificados antiguos.Cualquier nueva conexión utilizará los nuevos certificados.
Si ha configurado OCSP para su implementación, el comando rotateCertificates también obtendrá respuestas OCSP adjuntas durante la rotación.
El comando rotateCertificates puede ejecutarse en un mongod en funcionamiento o en un mongos, independientemente del estado de replicación.
Solo puede ejecutarse una instancia de db.rotateCertificates() o rotateCertificates a la vez en cada proceso de mongod o mongos. Intentar iniciar una segunda instancia mientras una ya está ejecutándose, resultará en un error.
Los archivos de certificado incorrectos, caducados, revocados o ausentes harán que falle la rotación del certificado, pero no invalidarán la configuración TLS existente ni terminarán el proceso mongod o mongos en ejecución.
Si el mongod o mongos está ejecutándose con --tlsCertificateSelector configurado en thumbprint, rotateCertificates fallará y guardará un mensaje de advertencia en la entrada de registro.
Registro
En caso de rotación exitosa, los nombres de sujetos, las huellas digitales y el período de validez de las huellas digitales de los certificados del servidor y del clúster se registran en el destino de registro configurado. Si la función de auditar está habilitada, esta información también se registra en el registro de auditoría.
En las plataformas Linux y Windows, si hay un CRL file presente, su huella digital y el periodo de validez también se registran en estas ubicaciones.
Acceso requerido
Debes tener la rotateCertificates acción para utilizar el comando de rotateCertificates. La acción rotateCertificates forma parte del rol hostManager.
Ejemplo
La siguiente operación rota los certificados en una instancia mongod en funcionamiento, después de haber realizado las actualizaciones apropiadas en el archivo de configuración para especificar la información actualizada del certificado:
db.adminCommand( { rotateCertificates: 1 } )
Lo siguiente realiza la misma función que lo anterior, pero además escribe un mensaje de registro personalizado en el momento de la rotación en la entrada de registro y archivo de auditoría:
db.adminCommand( { rotateCertificates: 1, message: "Rotating certificates" } )