Docs Menu
Docs Home
/
MongoDBマニュアル
/
参照
/
データベース コマンド
/
管理

rotateCertificates

項目一覧

  • 定義
  • 互換性
  • 構文
  • コマンドフィールド
  • 出力
  • 動作
  • ログ記録
  • 必要なアクセス権

定義

バージョン 5.0 で追加

rotateCertificates

またはmongod の現在使用されている mongosTLS 証明書 をローテーションして、 構成ファイルで定義されているこれらの証明書の更新された値を使用します。

互換性

このコマンドは、次の環境でホストされている配置で使用できます。

  • MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージド サービスです

注意

このコマンドは、すべての MongoDB Atlas クラスターでサポートされています。すべてのコマンドに対する Atlas のサポートについては、「サポートされていないコマンド」を参照してください。

  • MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン

  • MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン

構文

このコマンドの構文は、次のとおりです。

db.runCommand(
   {
     rotateCertificates: 1,
     message: "<optional log message>"
   }
)

コマンドフィールド

コマンドは、次の任意フィールドがあります。

Parameter
タイプ
説明
message
string
任意サーバーがログファイルと監査ファイルに記録するメッセージ。

出力

rotateCertificatesコマンドは、次のフィールドを含むドキュメントを返します。

フィールド
タイプ
説明
ok
ブール
コマンドの実行状態が入ります。 成功した場合はtrue 、エラーが発生した場合はfalseになります。 falseの場合、 errmsgフィールドには詳細なエラーメッセージが追加されます。

動作

ローテーションには次の証明書が含まれます。

1 つまたは複数の証明書をローテーションする。

  1. 次の制約に注意しながら、ファイルシステム上でローテーションしたい証明書を置き換えます。

    • 新しい証明書はそれぞれ、置き換える証明書と同じファイル名同じファイルパスを持っている必要があります。

    • 暗号化された TLS Certificate をローテーションする場合、そのパスワードは古い証明書のパスワードと同じである必要があります(certificateKeyFilePassword 構成ファイル設定で指定)。証明書のローテーションでは、対話型のパスワード プロンプトはサポートされません。

  2. 証明書ローテーションを実行する またはmongosh mongodmongosインスタンスに接続します。

  3. rotateCertificatesコマンドを実行して、 mongodまたはmongosインスタンスで使用される証明書をローテーションします。

証明書のローテーションが行われると、次のようになります。

  • mongod または mongos インスタンスへの既存の接続は終了されず、古い証明書が引き続き使用されます。

  • 新しい接続では新しい証明書が使用されます。

配置にOCSPを構成した場合、 rotateCertificatesコマンドはローテーション中にステープリングされた OCSP 応答も取得します。

rotateCertificatesコマンドは、レプリケーションのステータスに関係なく、実行中のmongodまたはmongosで実行できます。

db.rotateCertificates()またはrotateCertificates プロセスごとに一度に実行できるmongod mongosまたは のインスタンスのみ。2 つ目の インスタンスがすでに実行中に 2 つ目の インスタンスを開始しようとすると、エラーが発生します。

証明書ファイルが正しくない、期限切れ、取り消されている、または見つからない場合、証明書のローテーションは失敗しますが、既存の TLS 構成が無効になったり、実行中の mongod または mongos プロセスが終了したりすることはありません。

mongodまたはmongos--tlsCertificateSelectorthumbprintに設定して実行している場合、 rotateCertificatesは失敗し、ログファイルに警告メッセージが書込まれます。

ログ記録

ローテーションに成功すると、サブジェクト名、サムプリント、およびサーバー証明書のサムプリントの有効期間が、構成されたログ出力先にログとして記録されます。 監査が有効になっている場合は、この情報も 監査ログ に書き込まれます。

Linux と Windows プラットフォームでは、 CRL fileが存在する場合、そのサムプリントと有効期間もこれらのロケーションにログ化されます。

必要なアクセス権

rotateCertificatesコマンドを使用するには、rotateCertificates アクション が必要です。rotateCertificatesアクションはhostManagerロールの一部です。

次の操作では、更新された証明書情報を指定するために構成ファイルを適切に更新した後、実行中のmongodインスタンス上の証明書をローテーションします。

db.adminCommand( { rotateCertificates: 1 } )

以下の は上記と同じ操作を実行しますが、ローテーション時にカスタム ログ メッセージをログファイル監査ファイルに書込みます。

db.adminCommand( { rotateCertificates: 1, message: "Rotating certificates" } )

戻る

renameCollection

次へ

setAuditConfig