Docs Menu
Docs Home
/
MongoDB Ops Manager
/

配置での TLS の有効化

項目一覧

  • Considerations
  • 前提条件
  • 手順

で、 TLS MongoDB Ops ManagerMongoDBを使用する 配置をモニタリング、配置、またはバックアップするには、MongoDB Ops Manager プロジェクトで TLS を有効にする必要があります。

トランスポート層セキュリティ の完全な説明 公開鍵インフラストラクチャ X。509 証明書、 認証局 は、このチュートリアルの範囲を超えます。このチュートリアルでは、 TLSに関する事前の知識と、有効な X. 509証明書にアクセスできることを前提としています。

注意

プロジェクトの認証と TLS 設定リセットする場合は、まず MongoDB Ops Manager が管理するプロジェクト内のMongoDB 配置をすべて管理解除します。

MongoDB プロセスを提供しているホストごとにTLS証明書を取得します。 この証明書には、この MongoDB ホストのホスト名に対するFQDNを含める必要があります。 FQDNは、このホストのサブジェクト代替名である必要があります。 このTLS証明書は MongoDB ホストにインストールする必要があります。

警告

バージョン11.12.0.7384の MongoDB Agent では、 TLS証明書の サブジェクト代替名 フィールドに値が含まれている必要があります。 11.12.0.7384にアップグレードする前に、 MongoDB 配置で使用されるすべてのTLS証明書にSANが含まれていることを確認します。 詳細については、「 TLS 証明書にサブジェクト代替名が含まれていることを確認する 」を参照してください。

重要

以下を完了する必要があります。

  1. TLS を使用するように既存の配置を設定し

  2. プロジェクトでの TLS の有効化

Review & Deployをクリックする前に

重要

Client Certificate Mode設定では、プロジェクト内の配置に接続するためにクライアントがTLS証明書を提示する必要がある場合は、 を設定できます。 プロジェクトでTLSを有効にする場合、すべての配置でTLSを使用する必要があります。

Ops Manager プロジェクトで既存の配置に TLS を有効にする場合は、次の手順に従います。

1
  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Clusters] ビューをクリックします。

2
3
4
  1. 次の各オプションを追加するには、 Add Optionをクリックします。

    オプション
    必須

    必須

    requireTLS を選択します。

    必須

    サーバー証明書への絶対パスを指定します。

    必須

    PEM キー ファイルのパスワードを暗号化した場合は、それを入力します。

    重要: .pem証明書ファイルの暗号化された秘密キーが PKCS #8 にある場合 形式の場合は、 PBES2 を使用する必要があります。 暗号化操作。MongoDB Agent は、他の暗号化操作を使用した PKCS # 8をサポートしていません。

    任意

    FIPS モードを有効にする場合はtrueを選択します。

  2. 各オプションを追加したら、[ Add ] をクリックします。

  3. 必要なオプションを追加したら、[ Save ] をクリックします。

1
  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。

  1. [Security] タブをクリックします。

  2. [Settings] タブをクリックします。

  3. 次のいずれかのアクションを実行します。

    • このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。

    • このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。

2
  1. Select Authentication Mechanisms画面で、1 つ以上の認証メカニズムを有効にします。

    TLSはすべての認証メカニズムで機能します。

  2. [Next] をクリックします。

3
フィールド
アクション

MongoDB 配置トランスポート層セキュリティ (TLS)

このスライダーをONに切り替えます。

TLS CA ファイルパス

TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む.pem形式の証明書ファイルです。 MongoDB Agent は、この同じ認証局ファイルを使用して、配置内のすべてのアイテムに接続します。

証明書ファイルの暗号化された秘密キーは、.pem PKCS #1 に含まれている必要があります。 形式。MongoDB Agent は PKCS #8 をサポートしていません。 形式。

MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。

  • 最初のボックスにすべての Linux ホスト上のファイルパスを入力します。

  • 2 番目のボックスにすべての Windows ホスト上のファイル パスを入力します。

これにより、プロジェクト内の MongoDB プロセスのnet.tls.CAFile設定が有効になります。

Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。

クラスター TLS CA ファイル パス

接続を確立するクライアントによって提示された証明書を検証するために使用される証明機関からのルート証明書チェーンを含む.pemファイル。 相対パスまたは絶対パスを使用して、 .pemファイルのファイル名を指定します。 net.tls.clusterCAFileにはnet.tls.CAFileが設定されている必要があります。

net.tls.clusterCAFileを指定しない場合、クラスターはnet.tls.CAFileオプションで指定された.pemファイルを使用します。

net.tls.clusterCAFile クライアントからサーバー、サーバーからクライアントへのTLS ハンドシェイクの各部分を検証するために、異なる認証局を使用することができます。

クライアント証明書モード

TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

指定できる値は次のとおりです。

任意

すべてのクライアントは MongoDB 配置に接続するときに有効なTLS証明書を提示する場合があります。 を mongodtlsModeに設定 しない 場合、MongoDB エージェントは TLSNone 証明書を使用する可能性があります。

必須

このプロジェクト内のすべての MongoDB 配置は、 TLSで暗号化されたネットワーク接続から始まります。 MongoDB 配置に接続するには、すべてのエージェントがTLSを使用する必要があります。

4
  1. Agent Auth Mechanismリストで、プロジェクトに対して実行したのと同じ認証メカニズムをクリックします。

  2. その認証方法を使用するように MongoDB Agent を構成するには、次の手順に従います。

注意

レガシーエージェントのTLS証明書をお持ちの場合は、「レガシーバックアップエージェントまたはモニタリングエージェントの TLS 証明書があった場合はどうなりますか 」を参照してください。ガイダンスは、この手順の最後にあります。

5
6

MongoDB Ops Manager に提案された変更が表示されます。

  1. 問題がなければ、[ Confirm & Deploy ] をクリックします。

  2. さらに設定変更を行う場合は、[ Cancel ] をクリックします。 追加の変更を行うクラスターのModifyをクリックします。

  • オートメーションを使用する配置から MongoDB Agent に更新した場合、MongoDB Agent はTLS設定を管理します。

  • オートメーションを使用せずにバックアップエージェント、モニタリングエージェント、またはその両方を使用した配置から MongoDB Agent に更新した場合は、エージェントの更新中にまたは次の手順でバックアップエージェントとモニタリングエージェントに固有の設定を設定できます。

    1. Deploymentに移動Agents Downloads & Settings Custom Configurations Edit Custom Configuration

    2. [] をクリックします。

    3. Backup Configurationsセクションの下:

      1. Settingボックスに任意の設定を入力し、 Valueボックスに対応する値を入力します。

      2. 複数のSettingを追加するには、 + Add Settingリンクをクリックします。 別の行が表示されます。

      3. すべての設定が追加されるまで、繰り返します。

    4. Monitoring Configurationsセクションの下:

      1. Settingボックスに任意の設定を入力し、 Valueボックスに対応する値を入力します。

      2. 複数のSettingを追加するには、 + Add Settingリンクをクリックします。 別の行が表示されます。

      3. すべての設定が追加されるまで、繰り返します。

    をクリックできます。追加した設定を削除します。

戻る

アプリケーション データベースを保護する