自己管理型クラスターで拡張値を使用するための X. 509証明書のローテーション

TLS クラスターのメンバーシップ構成の更新

各サーバーの構成ファイルを更新します。

• clusterAuthX509新しい証明書と一致するように 設定を 設定に置き換えて、attributes extensionValue設定を変更します。

• 古い証明書の DN 属性を使用するには、 tlsClusterAuthX509Overrideパラメータを設定します。

以下に例を挙げます。

net:
  tls:
    mode:               requireTLS
    certificateKeyFile: /etc/mycerts/mongodb-server1.pem
    CAFile:             /etc/mycerts/ca.pem
    clusterFile:        /etc/mycerts/mongodb-cluster1.pem
    clusterCAFile:      /etc/mycerts/ca.pem
    clusterAuthX509:
       extensionValue:  mongodb://example.mongodb.net
security:
  clusterAuthMode: x509
setParameter:
   tlsClusterAuthX509Override: { attributes: O=MongoDB, OU=MongoDBServer }

セカンダリ クラスター ノードの再起動

各セカンダリ クラスター ノードを再起動します。

1. mongoshを使用して各セカンダリ クラスター メンバーに接続し、 db.shutdownServer()メソッドを使用してサーバーを停止します。

   use admin
   db.shutdownServer()

2. サーバーを再起動します。

3. メンバーの状態を判別するには、 rs.status()メソッドを使用します。

   rs.status().members

4. このノードのstateStrフィールドにSECONDARYの値が表示されるまで待ってから、次のセカンダリを再起動します。

レプリカセット内のセカンダリ サーバーは、新しい拡張値と古い DN 属性を持つ証明書を使用するノードからのピア接続を受け入れるようになりました。

プライマリ クラスター ノードの再起動

プライマリ ノードを再起動します。

1. mongoshを使用してプライマリに接続し、 rs.stepDown()メソッドを使用してノードをプライマリから降格します。

   rs.stepDown()

   クラスターは、新しい証明書を持つセカンダリを、新しいプライマリとして機能するように昇格します。

2. サーバーをシャットダウンするには、 db.shutdownServer()メソッドを使用します。

   use admin
   db.shutdownServer()

3. サーバーを再起動します。

レプリカセット内のプライマリ サーバーが降格してセカンダリとして再起動し、新しい拡張値を持つ証明書と古い DN 属性を使用するノードからのピア接続を受け入れるようになりました。

TLS 証明書の更新

各サーバーの構成ファイルを更新します。

• 新しい証明書を使用するにはnet.tls.certificateKeyFile設定を変更します。

• 新しい証明書を使用するにはnet.tls.clusterFile設定を変更します。

以下に例を挙げます。

net:
  tls:
    mode:               requireTLS
    certificateKeyFile: /etc/mycerts/mongodb-server2.pem
    CAFile:             /etc/mycerts/ca.pem
    clusterFile:        /etc/mycerts/mongodb-cluster2.pem
    clusterCAFile:      /etc/mycerts/ca.pem
    clusterAuthX509:
       extensionValue:  mongodb://example.mongodb.net
security:
  clusterAuthMode: x509
setParameter:
   tlsClusterAuthX509Override: { attributes: O=MongoDB, OU=MongoDB Server }

セカンダリ クラスター ノードの再起動

各セカンダリ クラスター ノードを再起動します。

1. mongoshを使用して各セカンダリ クラスター メンバーに接続し、 db.shutdownServer()メソッドを使用してサーバーを停止します。

   use admin
   db.shutdownServer()

2. サーバーを再起動します。

3. メンバーの状態を判別するには、 rs.status()メソッドを使用します。

   rs.status().members

4. このノードのstateStrフィールドにSECONDARYの値が表示されるまで待ってから、次のセカンダリを再起動します。

レプリカセット内のセカンダリ サーバーが新しい X.509 証明書を使用するようになりました。

プライマリ クラスター ノードの再起動

プライマリ ノードを再起動します。

1. mongoshを使用してプライマリに接続し、 rs.stepDown()メソッドを使用してノードをプライマリから降格します。

   rs.stepDown()

   クラスターは、新しい証明書を持つセカンダリを、新しいプライマリとして機能するように昇格します。

2. サーバーをシャットダウンするには、 db.shutdownServer()メソッドを使用します。

   use admin
   db.shutdownServer()

3. サーバーを再起動します。

レプリカセット内のプライマリ サーバーが降格し、新しい X.509 証明書を使用するセカンダリとして再起動します。

DN 認証オーバーライド構成の削除

クラスターのすべてのノードが新しい X.509 証明書を使用するようになりました。構成ファイルを更新して パラメータのsetParameter tlsClusterAuthX509Override設定を削除します。

以下に例を挙げます。

net:
  tls:
    mode:               requireTLS
    certificateKeyFile: /etc/mycerts/mongodb-server1.pem
    CAFile:             /etc/mycerts/ca.pem
    clusterFile:        /etc/mycerts/mongodb-cluster1.pem
    clusterCAFile:      /etc/mycerts/ca.pem
    clusterAuthX509:
       extensionValue:  mongodb://example.mongodb.net
security:
  clusterAuthMode: x509

これにより、サーバーは起動時に古い証明書設定を構成しないようになります。

セカンダリ クラスター ノードの再起動

各セカンダリ クラスター ノードを再起動します。

1. mongoshを使用して各セカンダリ クラスター メンバーに接続し、 db.shutdownServer()メソッドを使用してサーバーを停止します。

   use admin
   db.shutdownServer()

2. サーバーを再起動します。

3. メンバーの状態を判別するには、 rs.status()メソッドを使用します。

   rs.status().members

4. このノードのstateStrフィールドにSECONDARYの値が表示されるまで待ってから、次のセカンダリを再起動します。

レプリカセット内のセカンダリ サーバーが再起動し、古い X.509 証明書からの接続を受け入れなくなります。

プライマリ クラスター ノードの再起動

プライマリ ノードを再起動します。

1. mongoshを使用してプライマリに接続し、 rs.stepDown()メソッドを使用してノードをプライマリから降格します。

   rs.stepDown()

   クラスターは、新しい証明書を持つセカンダリを、新しいプライマリとして機能するように昇格します。

2. サーバーをシャットダウンするには、 db.shutdownServer()メソッドを使用します。

   use admin
   db.shutdownServer()

3. サーバーを再起動します。

プライマリ サーバーが降格して再起動し、古い X.509 証明書からの接続を受け入れなくなります。