ANNOUNCEMENT: Voyage AI joins MongoDB to power more accurate and trustworthy AI applications on Atlas.
Learn more
Docs Menu

MongoDB Ops Managerへの TLS 接続の構成

MongoDB Ops Managerを構成して、すべてのMongoDBエージェントからMongoDB Ops Managerへ、ウェブサイト クライアントからMongoDB Ops Managerアプリケーションへ、およびAPIクライアントからREST APIへの接続を暗号化できます。

接続を暗号化するには、次の方法があります。

  • MongoDB Ops Manager の前にHTTPSプロキシを設定する 、または

  • このページに記載されているように、 MongoDB Ops ManagerHTTPS 経由 で アプリケーションを実行します。

MongoDB Ops Manager.pem次の手順では、MongoDB Ops Manager ホストの TLS 証明書を含む ファイルを使用して を構成します。

MongoDB Agent は、手順が正常に完了した後、 HTTPSを使用します。

Tip

以下も参照してください。

.pemファイルの詳細については、MongoDB マニュアルの 「 .pem ファイルのセクション」 をお読みください。

1
  1. .pem ファイルを各MongoDB Ops Managerアプリケーション ホストにアップロードします。 この証明書は、 TLS接続を受け入れることができるように、各 MongoDB Ops Manager ホストにアップロードする必要があります。

  2. .pemファイルの所有者を、MongoDB Ops Manager プロセスを所有するユーザーとグループに変更します。

  3. .pemファイルの権限を変更して、ファイル所有者のみがファイルの読み取りと書込みをできるようにします。

2
  1. MongoDB Ops Manager アプリケーションでAdminをクリックすると、 Adminインターフェースが表示されます。

  2. [General] タブをクリックします

  3. [Ops Manager Config] をクリックします。

  4. [Web Server & Email] をクリックします。

  5. Web Server見出しで次のオプションを設定します。

    オプション
    アクション

    HTTPS アクセス用のポート を含む MongoDB Ops Manager アプリケーションの完全な URL8443 を指定します。

    以下に例を挙げます。

    https://opsmanager.example.com:8443

    このボックスに、すべてのMongoDB Ops Managerホストにある .pem ファイルが配置されているファイル システムの絶対パスを入力します。

    HTTPS PEMキー ファイルを暗号化した場合は、このボックスに復号化に必要なパスワードを入力します。

    TLS 対応の に接続するときにクライアント アプリケーションまたはMongoDB エージェントが TLS 証明書を提示する必要がある場合は、MongoDB Ops Manager を選択します。MongoDB Ops Manager は、接続時にこれらのクライアント ホストからの証明書を確認します。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

    指定できる値は次のとおりです。

    • None

    • Required for Agents Only

    • Required for All Requests

  6. [Save] をクリックします。

3

MongoDB Ops Manager Server 4.4.13以降では、 MongoDB Ops ManagerアプリケーションはクライアントがデフォルトでTLSバージョン 1.2 を使用する必要があります。

TLSの最小バージョンを変更するには、以下の手順を行います。

  1. MongoDB Ops Manager アプリケーションでAdminをクリックすると、 Adminインターフェースが表示されます。

  2. [General] タブをクリックします

  3. [Ops Manager Config] をクリックします。

  4. [Custom] をクリックします。

  5. TLSの最小バージョンを設定します。

  6. Keyボックスにmms.minimumTLSVersionと入力します。

  7. Valueボックスに最小TLSバージョンを入力します。

    次の値が受け入れられます。

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. [Save] をクリックします。

4

アプリケーションとの TLS 接続から特定の TLS 暗号スイートを除外するには、MongoDB Ops Manager

  1. MongoDB Ops Manager アプリケーションでAdminをクリックすると、 Adminインターフェースが表示されます。

  2. [General] タブをクリックします

  3. [Ops Manager Config] をクリックします。

  4. [Custom] をクリックします。

  5. Keyボックスにmms.disableCiphersと入力します。

  6. Valueボックスに無効にする暗号スイートのカンマ区切りリストを入力します。

    重要

    で使用される暗号スイート名に従う必要がありますMongoDB Ops Manager RFC5246 命名規則。OpenSSL の命名規則は使用しないでください。

    例では、 NULL-SHA256 TLS_RSA_WITH_NULL_SHA256が使用されます。

  7. [Save] をクリックします。

5

「 MongoDB Ops ManagerMongoDB Ops Manager アプリケーションの 起動と停止 の手順に従って、 アプリケーションを再起動します。MongoDB Ops Manager

クラスター内の各 MongoDB ホストで、次の操作を行います。

1

MongoDB Agent 構成ファイルの場所は、プラットフォームによって異なります。

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

必要に応じて、次のプロパティを設定または追加します。

オプション
必要性
アクション

必須

この値を、 URL to Access Ops Managerボックスに入力したURLと一致するように設定します。

重要:このプロパティとURL to Access Ops Managerボックスの両方を更新することを確認してください。 いずれの値も一致する必要があります。 MongoDB AgentURL to Access Ops ManagerMongoDB Ops ManagerMongoDBmmsBaseURL MongoDB AgentAgent でモニタリングとバックアップが有効になっている場合は、 に カスタム モニタリング設定が設定されていない限り、 サーバーで構成された が使用されます。詳しくは、「 MongoDB Agent 監視設定 」を参照してください。

条件付き

次のすべてに当てはまる場合は、この値をtrueに設定します。

  • エージェントが MongoDB Ops Manager のTLS証明書を検証するようにします。

  • 既知の外部認証局または自己署名認証局を使用して、MongoDB Ops Manager ホストのTLS証明書に署名した。

この値をtrueに設定する場合は、 httpsCAFileを設定する必要があります。

条件付き

独自の自己署名認証局.pemファイルを使用している場合は、このプロパティを追加し、MongoDB ホスト上の認証局ファイルへの絶対パスに設定します。

重要:この認証局ファイルは、同じ シャーディングされたシャーディングされたクラスターまたはレプリカセット内の各MongoDBホストの同じ場所にある必要があります。 他のホストと同じファイルロケーションにファイルがないMongoDBホストは、アクセスできなくなる可能性があります。

次の場合は、 downloads.mongodb.com証明書の証明機関をこの.pemファイルに追加します。

  1. MongoDBをダウンロードするにはMongoDBエージェントが必要
    インターネットからのインストーラー、
  2. TLS を使用して接続を暗号化する

  3. プライベート CA で証明書に署名しました。 ( httpsCAFileオプションを設定します)

別のウェブ サイトから TLS 証明書をダウンロードする方法については、 OpenSSL Atlas Charts のエントリ を参照してください。

条件付き

MongoDB Ops Managerで Client Certificate ModeRequired for Agents Only または Required for All Requests に設定している場合は、この値を追加し、クライアントの秘密キー、証明書、オプションの中間証明書を含むファイルへの絶対パスを .pem 形式 で指定します。

条件付き

tlsMMSServerClientCertificate .pemファイルを暗号化した場合は、復号に必要なパスワードを入力します。

3
4