rotateCertificates
정의
버전 5.0에 추가.
rotateCertificates
또는
mongod
에 대해 현재 사용되는 TLSmongos
인증서 를 순환하여 구성 파일 에정의된 이러한 인증서에 업데이트된 값을 사용합니다.
호환성
이 명령은 다음 환경에서 호스팅되는 배포에서 사용할 수 있습니다.
MongoDB Atlas: 클라우드에서의 MongoDB 배포를 위한 완전 관리형 서비스
참고
이 명령은 모든 MongoDB Atlas 클러스터에서 지원됩니다. 모든 명령에 대한 자세한 내용은 지원되지 않는 명령을 참조하세요.
MongoDB Enterprise: MongoDB의 구독 기반 자체 관리 버전
MongoDB Community: MongoDB의 소스 사용 가능 무료 자체 관리 버전
구문
명령은 다음과 같은 구문을 가집니다:
db.runCommand( { rotateCertificates: 1, message: "<optional log message>" } )
명령 필드
이 명령은 다음과 같은 선택적 필드를 사용합니다.
Parameter | 유형 | 설명 |
---|---|---|
message | 문자열 | 선택적 서버가 로그 파일과 감사 파일에 기록하는 메시지입니다. |
출력
rotateCertificates
명령은 다음 필드가 있는 문서를 반환합니다.
필드 | 유형 | 설명 |
---|---|---|
ok | 부울 | 명령의 실행 상태를 포함합니다. 성공하면 true , 오류가 발생하면 false 을 반환합니다. false 인 경우 자세한 오류 메시지와 함께 errmsg 필드가 추가로 제공됩니다. |
행동
순환에는 다음 인증서가 포함됩니다.
CRL (Certificate Revocation List) files
(Linux 및 Windows 플랫폼에서)
이러한 인증서 중 하나 이상을 회전하려면 다음을 수행하세요.
다음 제약 조건에 유의하여 파일 시스템에서 회전하려는 인증서를 교체하세요.
새로운 각 인증서는 교체하는 인증서와 동일한 파일 이름 및 파일 경로를 가지고 있어야 합니다.
암호화된
TLS Certificate
를 회전하는 경우, 새 인증서의 암호는 이전 인증서의 암호(certificateKeyFilePassword
구성 파일 설정에 지정된 대로)와 같아야 합니다. 인증서 회전은 대화형 비밀번호 프롬프트를 지원하지 않습니다.
rotateCertificates
명령을 실행하여mongod
또는mongos
인스턴스에서 사용하는 인증서를 순환합니다.
인증서 회전이 발생하는 경우:
배포서버에 OCSP
를 구성한 경우 rotateCertificates
명령은 순환 중에 스테이플된 OCSP 응답도 가져옵니다.
rotateCertificates
명령은 복제 상태에 관계없이 실행 중인 mongod
또는 mongos
에서 실행할 수 있습니다.
각 또는 mongos
프로세스에서 mongod
한 db.rotateCertificates()
rotateCertificates
번에 하나의 또는 인스턴스만 실행할 수 있습니다. 두 번째 인스턴스가 이미 실행 중인 상태에서 두 번째 인스턴스를 시작하려고 하면 오류가 발생합니다.
인증서 파일이 잘못되었거나, 만료되었거나, 해지되었거나, 누락된 경우 인증서 회전이 실패하지만 기존 TLS 구성이 무효화되거나 실행 중인 mongod
또는 mongos
프로세스가 종료되지는 않습니다.
가 로 설정된 mongos
상태에서 또는 가 mongod
--tlsCertificateSelector
실행 중인 경우 thumbprint
rotateCertificates
는 실패하고 로그 파일에 경고 메시지를 기록합니다.
로깅
순환에 성공하면 주체 이름, 지문, 서버 및 cluster 인증서 지문의 유효 기간이 구성된 로그 대상 에 기록됩니다. 감사 가 활성화된 경우 이 정보는 감사 로그에도 기록됩니다.
Linux 및 Windows 플랫폼에서 CRL file
가 있으면 지문 및 유효 기간도 이 위치에 기록됩니다.
필요한 액세스 권한
rotateCertificates
명령을 rotateCertificates
사용하려면 조치 가 있어야 합니다. rotateCertificates
작업은 hostManager
역할의 일부입니다.
예시
다음 작업은 업데이트된 인증서 정보를 지정하기 위해 구성 파일을 적절하게 업데이트한 후 실행 중인 mongod
인스턴스에서 인증서를 순환합니다.
db.adminCommand( { rotateCertificates: 1 } )
다음은 위와 동일한 작업을 수행하지만 순환 시 로그 파일 과 감사 파일에 사용자 지정 로그 메시지를 씁니다.
db.adminCommand( { rotateCertificates: 1, message: "Rotating certificates" } )