Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ

MongoDB Ops Managerへの TLS 接続の構成

項目一覧

  • 前提条件
  • TLS 用の アプリケーションの構成MongoDB Ops Manager
  • TLSを使用するように MongoDB エージェントを構成する

MongoDB Ops Managerを構成して、すべてのMongoDBエージェントからMongoDB Ops Managerへ、ウェブサイト クライアントからMongoDB Ops Managerアプリケーションへ、およびAPIクライアントからREST APIへの接続を暗号化できます。

接続を暗号化するには、次の方法があります。

  • MongoDB Ops Manager の前にHTTPSプロキシを設定する 、または

  • このページに記載されているように、 MongoDB Ops ManagerHTTPS 経由 で アプリケーションを実行します。

MongoDB Ops Manager.pem次の手順では、MongoDB Ops Manager ホストの TLS 証明書を含む {0 ファイルを使用して を構成します。

MongoDB Agent は、手順が正常に完了した後、 HTTPSを使用します。

Tip

以下も参照してください。

.pemファイルの詳細については、MongoDB マニュアルの .pem ファイルのセクションをお読みください。

前提条件

  • に更新するか、MongoDB Agent をインストールします。

  • TLS関連のカスタム設定を MongoDB Agent 構成に追加します。

TLS 用のMongoDB OpsMongoDB Ops Manager Managerアプリケーションの構成

1

証明書ファイルを各 MongoDB Ops Manager ホストにアップロードします。

  1. .pem ファイルを各MongoDB Ops Managerアプリケーション ホストにアップロードします。 この証明書は、 TLS接続を受け入れることができるように、各 MongoDB Ops Manager ホストにアップロードする必要があります。

  2. .pemファイルの所有者を、MongoDB Ops Manager プロセスを所有するユーザーとグループに変更します。

  3. .pemファイルの権限を変更して、ファイル所有者のみがファイルの読み取りと書込みをできるようにします。

2

MongoDB Ops Managerアプリケーションの TLS MongoDB Ops Managerを有効にします。

  1. MongoDB Ops Manager アプリケーションで Adminをクリックして、 Adminインターフェースを表示します。

  2. [General] タブをクリックします

  3. [Ops Manager Config] をクリックします。

  4. [Web Server & Email] をクリックします。

  5. Web Server見出しで次のオプションを設定します。

    オプション
    アクション

    HTTPS アクセス用のポート を含む MongoDB Ops Manager アプリケーションの完全な URL8443 を指定します。

    以下に例を挙げます。

    https://opsmanager.example.com:8443
    このボックスに、すべてのMongoDB Ops Managerホストにある .pem ファイルが配置されているファイル システムの絶対パスを入力します。
    HTTPS PEMキー ファイルを暗号化した場合は、このボックスに復号化に必要なパスワードを入力します。

    TLS 対応の に接続するときにクライアント アプリケーションまたはMongoDB エージェントが TLS 証明書を提示する必要がある場合は、MongoDB Ops Manager を選択します。MongoDB Ops Manager は、接続時にこれらのクライアント ホストからの証明書を確認します。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

    指定できる値は次のとおりです。

    • None

    • Required for Agents Only

    • Required for All Requests

  6. [Save] をクリックします。

3

(オプション) TLS の最小バージョンを変更します。

MongoDB Ops Manager Server 4.4.13以降では、 MongoDB Ops ManagerアプリケーションはクライアントがデフォルトでTLSバージョン 1.2 を使用する必要があります。

TLSの最小バージョンを変更するには、以下の手順を行います。

  1. MongoDB Ops Manager アプリケーションでAdminをクリックすると、 Adminインターフェースが表示されます。

  2. [General] タブをクリックします

  3. [Ops Manager Config] をクリックします。

  4. [Custom] をクリックします。

  5. TLSの最小バージョンを設定します。

  6. Keyボックスにmms.minimumTLSVersionと入力します。

  7. Valueボックスに最小TLSバージョンを入力します。

    次の値が受け入れられます。

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. [Save] をクリックします。

4

(任意)除外する TLS 暗号スイートを指定します。

アプリケーションとの TLS 接続から特定の TLS 暗号スイートを除外するには、MongoDB Ops Manager

  1. MongoDB Ops Manager アプリケーションでAdminをクリックすると、 Adminインターフェースが表示されます。

  2. [General] タブをクリックします

  3. [Ops Manager Config] をクリックします。

  4. [Custom] をクリックします。

  5. Keyボックスにmms.disableCiphersと入力します。

  6. Valueボックスに無効にする暗号スイートのカンマ区切りリストを入力します。

    重要

    で使用される暗号スイート名はMongoDB Ops Manager RFC5246 に従う必要があります。 命名規則。OpenSSL の命名規則は使用しないでください。

    例では、 NULL-SHA256 TLS_RSA_WITH_NULL_SHA256が使用されます。

  7. [Save] をクリックします。

5

TLS を有効にするには、各MongoDB OpsMongoDB Ops Manager Managerホストを再起動します。

「 MongoDB Ops ManagerMongoDB Ops Manager アプリケーションの 起動と停止 の手順に従って、 アプリケーションを再起動します。MongoDB Ops Manager

TLS を使用するようにMongoDBエージェントを構成する

クラスター内の各 MongoDB ホストで、次の操作を行います。

1

希望するテキストエディタで MongoDB Agent の構成ファイルを開きます。

MongoDB Agent 構成ファイルの場所は、プラットフォームによって異なります。

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

mmsBaseUrl TLS の設定を変更します。

必要に応じて、次のプロパティを設定または追加します。

オプション
必要性
アクション
必須

この値を、 URL to Access Ops Managerボックスに入力したURLと一致するように設定します。

重要:このプロパティとURL to Access Ops Managerボックスの両方を更新することを確認してください。 いずれの値も一致する必要があります。 MongoDB AgentURL to Access Ops ManagerMongoDB Ops ManagerMongoDBmmsBaseURL MongoDB AgentAgent でモニタリングとバックアップが有効になっている場合は、 に カスタム モニタリング設定が設定されていない限り、 サーバーで構成された が使用されます。詳しくは、「 MongoDB Agent 監視設定 」を参照してください。

条件付き

次のすべてに当てはまる場合は、この値をtrueに設定します。

  • エージェントが MongoDB Ops Manager のTLS証明書を検証するようにします。

  • 既知の外部認証局または自己署名認証局を使用して、MongoDB Ops Manager ホストのTLS証明書に署名した。

この値をtrueに設定する場合は、 httpsCAFileを設定する必要があります。

条件付き

独自の自己署名認証局.pemファイルを使用している場合は、このプロパティを追加し、MongoDB ホスト上の認証局ファイルへの絶対パスに設定します。

重要:この認証局ファイルは、同じ シャーディングされたシャーディングされたクラスターまたはレプリカセット内の各MongoDBホストの同じ場所にある必要があります。 他のホストと同じファイルロケーションにファイルがないMongoDBホストは、アクセスできなくなる可能性があります。

次の場合は、 downloads.mongodb.com証明書の証明機関をこの.pemファイルに追加します。

  1. MongoDBをダウンロードするにはMongoDBエージェントが必要
    インターネットからのインストーラー、

  2. TLS を使用して接続を暗号化する

  3. プライベート CA で証明書に署名しました。 ( httpsCAFileオプションを設定します)

別のウェブ サイトから TLS 証明書をダウンロードする方法については、 OpenSSL Atlas Charts のエントリ を参照してください。

条件付き
MongoDB Ops Managerで Client Certificate ModeRequired for Agents Only または Required for All Requests に設定している場合は、この値を追加し、クライアントの秘密キー、証明書、オプションの中間証明書を含むファイルへの絶対パスを .pem 形式 で指定します。
条件付き
tlsMMSServerClientCertificate .pemファイルを暗号化した場合は、復号に必要なパスワードを入力します。
3

[Save] をクリックします。

4

MongoDB Agent を再起動します。

戻る

ユーザー認証情報の暗号化

次へ

アプリケーション データベースを保護する