配置での TLS の有効化
で、 TLS MongoDB Ops ManagerMongoDBを使用する 配置をモニタリング、配置、またはバックアップするには、MongoDB Ops Manager プロジェクトで TLS を有効にする必要があります。
Considerations
スコープ外のトピック
トランスポート層セキュリティ の完全な説明 、 公開鍵インフラストラクチャ 、 X。509 証明書、 認証局 は、このチュートリアルの範囲を超えます。このチュートリアルでは、 TLSに関する事前の知識と、有効な X. 509証明書にアクセスできることを前提としています。
注意
プロジェクトの認証と TLS 設定をリセットする場合は、まず MongoDB Ops Manager が管理するプロジェクト内のMongoDB 配置をすべて管理解除します。
前提条件
各 MongoDB ホストへの TLS 証明書の取得とインストール
MongoDB プロセスを提供しているホストごとにTLS証明書を取得します。 この証明書には、この MongoDB ホストのホスト名に対するFQDNを含める必要があります。 FQDNは、このホストのサブジェクト代替名である必要があります。 このTLS証明書は MongoDB ホストにインストールする必要があります。
警告
バージョン11.12.0.7384の MongoDB Agent では、 TLS証明書の サブジェクト代替名 フィールドに値が含まれている必要があります。 11.12.0.7384にアップグレードする前に、 MongoDB 配置で使用されるすべてのTLS証明書にSANが含まれていることを確認します。 詳細については、「 TLS 証明書にサブジェクト代替名が含まれていることを確認する 」を参照してください。
手順
重要
TLS を使用するように既存の配置を設定する
重要
Client Certificate Mode設定では、プロジェクト内の配置に接続するためにクライアントがTLS証明書を提示する必要がある場合は、 を設定できます。 プロジェクトでTLSを有効にする場合、すべての配置でTLSを使用する必要があります。
Ops Manager プロジェクトで既存の配置に TLS を有効にする場合は、次の手順に従います。
TLS / SSLスタートアップオプションを設定します。
次の各オプションを追加するには、 Add Optionをクリックします。
オプション必須値必須requireTLS
を選択します。必須サーバー証明書への絶対パスを指定します。必須任意FIPS モードを有効にする場合はtrue
を選択します。各オプションを追加したら、[ Add ] をクリックします。
必要なオプションを追加したら、[ Save ] をクリックします。
プロジェクトでの TLS の有効化
配置用のSecurity Settings ダイアログに移動します。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。
[Security] タブをクリックします。
[Settings] タブをクリックします。
次のいずれかのアクションを実行します。
このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。
このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。
認証メカニズムを選択します。
Select Authentication Mechanisms画面で、1 つ以上の認証メカニズムを有効にします。
TLSはすべての認証メカニズムで機能します。
[Next] をクリックします。
TLS 設定を指定します。
フィールド | アクション |
---|---|
MongoDB 配置トランスポート層セキュリティ (TLS) | このスライダーをONに切り替えます。 |
TLS CA ファイルパス | TLS認証局ファイルは、証明機関からのルート証明書チェーンを含む 証明書ファイルの暗号化された秘密キーは、 MongoDB プロセスを実行しているすべてのホスト上のTLS認証局ファイルへのファイル パスを入力します。
これにより、プロジェクト内の MongoDB プロセスの Validateをクリックして、指定したパスで配置内の各ホストにTLS認証局があることをテストします。 |
クラスター TLS CA ファイル パス | 接続を確立するクライアントによって提示された証明書を検証するために使用される証明機関からのルート証明書チェーンを含む
|
クライアント証明書モード | TLS 対応の MongoDB 配置に接続するときにクライアント アプリケーションまたは MongoDB エージェントが TLS 証明書を提示する必要がある場合は、 を選択します。MongoDB の各配置では、接続時にこれらのクライアント ホストからの証明書がチェックされます。 クライアントTLS証明書を要求する場合は、有効であることを確認します。 指定できる値は次のとおりです。 |
オートメーションを使用する配置から MongoDB Agent に更新した場合、MongoDB Agent はTLS設定を管理します。
オートメーションを使用せずにバックアップエージェント、モニタリングエージェント、またはその両方を使用した配置から MongoDB Agent に更新した場合は、エージェントの更新中にまたは次の手順でバックアップエージェントとモニタリングエージェントに固有の設定を設定できます。
Deploymentに移動Agents Downloads & Settings Custom Configurations Edit Custom Configuration 。
[] をクリックします。
Backup Configurationsセクションの下:
Settingボックスに任意の設定を入力し、 Valueボックスに対応する値を入力します。
複数のSettingを追加するには、 + Add Settingリンクをクリックします。 別の行が表示されます。
すべての設定が追加されるまで、繰り返します。
Monitoring Configurationsセクションの下:
Settingボックスに任意の設定を入力し、 Valueボックスに対応する値を入力します。
複数のSettingを追加するには、 + Add Settingリンクをクリックします。 別の行が表示されます。
すべての設定が追加されるまで、繰り返します。
をクリックできます。追加した設定を削除します。