Você pode configurar o Ops Manager para criptografar conexões de todos os MongoDB Agents com o Ops Manager, de website clientes com o aplicativo Ops Manager e de clientes da API com a API REST.
Para criptografar conexões, você pode:
Configurar um proxy HTTPS na frente do Ops Manager, ou
Executar o aplicativo de Ops Manager em HTTPS, conforme descrito nesta página.
O procedimento seguinte configura o Ops Manager com um arquivo .pem que contém o certificado TLS do host do Ops Manager.
O MongoDB Agent usa HTTPS após concluir o procedimento com êxito.
Dica
Para saber mais sobre arquivos .pem, leia a seção sobre arquivos .pem no manual do MongoDB.
Pré-requisitos
Atualize para ou instale o MongoDB Agent.
Adicione quaisquer configurações personalizadas relacionadas ao TLS à configuração do MongoDB Agent.
Configurar o aplicativo Ops Manager para TLS
Carregue o arquivo de certificado para cada host do Ops Manager
Carregue seu
.pemarquivo para cada host do aplicativo de Ops Manager. Este certificado deve ser carregado para cada host do Ops Manager para que possa aceitar conexões TLSAltere o proprietário do arquivo
.pempara o usuário e grupo que possui o processo do Ops ManagerAltere as permissões do arquivo
.pempara que somente o proprietário do arquivo possa ler e gravar o arquivo
Ativar o TLS para o aplicativo Ops Manager
Clique em Admin no aplicação Ops Manager para visualizar a interface do Admin
Clique na aba General
Clique em Ops Manager Config
Clique em Web Server & Email
Defina as seguintes opções no cabeçalho Web Server :
Opçãoem açãoForneça o URL completo do aplicativo de Ops Manager, incluindo a porta
8443para acesso HTTPS.Por exemplo:
https://opsmanager.example.com:8443 Digite o caminho do sistema de arquivos absoluto onde o arquivo
.pemestá localizado em todos os hosts do Ops Manager nesta caixa.Se você criptografou o arquivo de chave HTTPS PEM, digite a senha necessária para descriptografá-lo nesta caixa.
Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um Ops Manager habilitado para TLS. O Ops Manager verifica certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.
Os valores aceitos são:
None
Required for Agents Only
Required for All Requests
Clique em Save
(Opcional) Alterar a versão mínima do TLS
No servidor do Ops Manager 4.4.13 e posterior, o aplicativo de Ops Manager requer que seus clientes usem o TLS versão 1.2 por padrão.
Para alterar a versão mínima do TLS:
Clique em Admin no aplicação Ops Manager para ver a interface do
AdminClique na aba General
Clique em Ops Manager Config
Clique em Custom
Configurar a versão mínima do TLS
mms.minimumTLSVersionInsira na Key caixaInsira uma versão TLS mínima na Value caixa
Os seguintes valores são aceitos:
TLSv1TLSv1.1TLSv1.2
Clique em Save
(Opcional) Especifique quais conjuntos de cifras TLS você deseja excluir
Para excluir conjuntos de codificação TLS específicos das conexões TLS com o aplicativo de Ops Manager.
Clique em Admin no aplicação Ops Manager para ver a interface do
AdminClique na aba General
Clique em Ops Manager Config
Clique em Custom
mms.disableCiphersInsira na Key caixaInsira uma lista separada por vírgula de conjuntos de cifras para desabilitar na caixa Value
Importante
Os nomes de conjunto de cifras usados no Ops Manager devem seguir as convenções de nomenclatura RFC 5246. Não utilize a convenção de nomenclatura OpenSSL.
Por exemplo, use
TLS_RSA_WITH_NULL_SHA256, nãoNULL-SHA256.Clique em Save
Reinicie cada host do Ops Manager para habilitar o TLS
Reinicie o aplicativo de Ops Manager de acordo com as instruções para Iniciar e parar o aplicativo de Ops Manager.
Configurar agentes MongoDB para usar o TLS
Em cada host MongoDB em seu cluster:
Abra o arquivo de configuração do MongoDB Agent no editor de texto de sua preferência
O local do arquivo de configuração do MongoDB Agent depende da sua plataforma:
/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
Alterar mmsBaseUrl as configurações do e TLS
Defina ou adicione as seguintes propriedades quando necessário:
Opção | necessidade | em ação |
|---|---|---|
Obrigatório | Configure este valor para corresponder à URL que você inseriu na caixa URL to Access Ops Manager. IMPORTANTE: Certifique-se de atualizar esta propriedade e a caixa URL to Access Ops Manager . Ambos os valores devem corresponder. Se Monitoramento e Backup estiverem habilitados para o MongoDB Agent, eles usarão o URL to Access Ops
Manager configurado no servidor do MongoDB Ops Manager , a menos que a configuração de monitoramento personalizado do | |
Condicional | Defina esse valor como
Se definir este valor para | |
Condicional | Se você estiver usando seus próprios arquivos de IMPORTANTE: esse arquivo de autoridade de certificação deve estar no mesmo local em cada host do MongoDB no mesmo cluster fragmentado ou conjunto de réplicas. Qualquer host do MongoDB que não tenha o arquivo no mesmo local que os outros pode ficar inacessível. Adicione a autoridade de certificação para o certificado
Para saber como baixar certificados TLS de outro site, consulte a entrada OpenSSL Cookbook. | |
Condicional | Se você configurar o Client Certificate Mode no Ops Manager como | |
Condicional | Se você codificou o arquivo |
Desativar TLS para um conjunto de réplicas
Para desabilitar o TLS para um conjunto de réplicas com o Ops Manager, execute as seguintes etapas: