Menu Docs
Página inicial do Docs
/
MongoDB Ops Manager
/
Segurança

Configurar conexões TLS com o Ops Manager

Nesta página

Você pode configurar o Ops Manager para criptografar conexões de todos os MongoDB Agents com o Ops Manager, de website clientes com o aplicativo Ops Manager e de clientes da API com a API REST.

Para criptografar conexões, você pode:

  • Configurar um proxy HTTPS na frente do Ops Manager, ou

  • Execute o aplicativo do Ops Manager em HTTPS, conforme descrito nesta página.

O procedimento seguinte configura o Ops Manager com um arquivo .pem que contém o certificado TLS do host do Ops Manager.

O MongoDB Agent usa HTTPS após concluir o procedimento com sucesso.

Veja também:

Para saber mais sobre arquivos .pem, leia a seção de arquivo .pem no manual do MongoDB.

Pré-requisitos

Configurar o MongoDB Ops Manager aplicativo para TLS

1

Carregue o arquivo de certificado para cada host do Ops Manager.

  1. Faça upload do arquivo .pem para cada host do Aplicativo de Ops Manager. Este certificado deve ser carregado para cada host do Ops Manager para que possa aceitar conexões TLS.

  2. Altere o proprietário do arquivo .pem para o usuário e grupo que possui o processo do Ops Manager.

  3. Altere as permissões do arquivo .pem para que somente o proprietário do arquivo possa ler e gravar o arquivo.

2

Ative o TLS para o MongoDB Ops Manager aplicativo .

  1. Clique em Admin no aplicativo de Ops Manager para ver a interface do Admin.

  2. Clique na aba General

  3. Clique em Ops Manager Config.

  4. Clique em Web Server & Email.

  5. Defina as seguintes opções no cabeçalho Web Server :

    Opção
    em ação

    URL to Access Ops Manager

    Forneça a URL completa para o aplicativo Ops Manager, incluindo a porta 8443 para acesso HTTPS.

    Por exemplo:

    https://opsmanager.example.com:8443

    HTTPS PEM Key File

    Digite o caminho do sistema de arquivos absoluto onde o arquivo .pem está localizado em todos os hosts do Ops Manager nesta caixa.

    HTTPS PEM Key File Password

    Se você criptografou o arquivo de chave HTTPS PEM, digite a senha necessária para descriptografá-lo nessa caixa.

    Client Certificate Mode

    Selecione se os client applications ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um Ops Manager habilitado para TLS. O Ops Manager verifica certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

    Os valores aceitos são:

    • None

    • Required for Agents Only

    • Required for All Requests

  6. Clique em Save.

3

(Opcional) Altere a versão mínima do TLS .

No Ops Manager Server 4,4.13 e posterior, o aplicativo Ops Manager exige que seus clientes utilizem a versão 1.2 do TLS por padrão.

Para alterar a versão mínima do TLS:

  1. Clique em Admin no aplicativo de Ops Manager para ver a interface do Admin.

  2. Clique na aba General

  3. Clique em Ops Manager Config.

  4. Clique em Custom.

  5. Configure a versão TLS mínima.

  6. Insira mms.minimumTLSVersion na caixa Key.

  7. Insira uma versão TLS mínima na caixa Value.

    Os seguintes valores são aceitos:

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. Clique em Save.

4

(Opcional) Especifique quais conjuntos de cifras TLS você deseja excluir.

Para excluir conjuntos de cifras TLS específicos das conexões TLS com o aplicativo Ops Manager.

  1. Clique em Admin no aplicativo de Ops Manager para ver a interface do Admin.

  2. Clique na aba General

  3. Clique em Ops Manager Config.

  4. Clique em Custom.

  5. Insira mms.disableCiphers na caixa Key.

  6. Insira uma lista separada por vírgula de conjuntos de cifras para desabilitar na caixa Value.

    Importante

    Os nomes dos conjuntos de criptografia usados no Ops Manager devem seguir as convenções de nomenclatura do RFC 5246. Não utilize a convenção de nomenclatura OpenSSL.

    Por exemplo, use TLS_RSA_WITH_NULL_SHA256, não NULL-SHA256.

  7. Clique em Save.

5

Reinicie cada MongoDB Ops Manager host para habilitar o TLS.

Reinicie o aplicativo de Ops Manager de acordo com as instruções para Iniciar e parar o aplicativo de Ops Manager.

Configurar agentes MongoDB para usar o TLS

Em cada host MongoDB em seu cluster:

1

Abra o arquivo de configuração do MongoDB Agent em seu editor de texto preferido.

O local do arquivo de configuração do MongoDB Agent depende da sua plataforma:

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

Altere mmsBaseUrl as configurações do e TLS .

Defina ou adicione as seguintes propriedades quando necessário:

Opção
necessidade
em ação

mmsbaseurl

Obrigatório

Configure este valor para corresponder à URL que você inseriu na caixa URL to Access Ops Manager.

IMPORTANTE: Certifique-se de atualizar esta propriedade e a caixa URL to Access Ops Manager . Ambos os valores devem corresponder. Se Monitoramento e Backup estiverem habilitados para o MongoDB Agent, eles usarão o URL to Access Ops Manager configurado no servidor do MongoDB Ops Manager , a menos que a configuração de monitoramento personalizado do mmsBaseURL esteja definida para o MongoDB Agent. Para obter mais informações, consulte as Configurações de monitoramento do MongoDB Agent .

tlsRequireValidMMSServerCertificates

Condicional

Defina esse valor como true se todas as condições a seguir se aplicarem:

  • Você deseja que o agente valide os certificados TLS do Ops Manager.

  • Você assinou os certificados TLS de seus hosts do Ops Manager com uma Autoridade de Certificado externa conhecida ou Autoridade de Certificado auto assinado.

Se definir este valor para true, você deverá definir httpsCAFile.

httpsCAFile

Condicional

Se você estiver usando seus próprios arquivos de .pem de Autoridade de Certificação autoassinados, adicione essa propriedade e defina-a como o caminho absoluto para o arquivo de Autoridade de Certificação no host do MongoDB.

IMPORTANTE: esse arquivo de autoridade de certificação deve estar no mesmo local em cada host do MongoDB no mesmo cluster fragmentado ou conjunto de réplicas. Qualquer host do MongoDB que não tenha o arquivo no mesmo local que os outros pode ficar inacessível.

Adicione a autoridade de certificação para o certificado downloads.mongodb.com a este arquivo .pem se você:

  1. Precisa que seus MongoDB Agents baixem seu MongoDB
    instaladores da Internet,

  2. Use TLS para criptografar conexões, e

  3. Assinou seus certificados com uma CA privada. (Você definiu a opção httpsCAFile.)

Para saber como baixar certificados TLS de outro site, consulte a entrada OpenSSL Cookbook.

tlsMMSServerClientCertificate

Condicional

Se você configurar o Client Certificate Mode no Ops Manager como Required for Agents Only ou Required for All Requests, adicione este valor e especifique o caminho absoluto para o arquivo que contém a chave privada do cliente, certificado e certificados intermediários opcionais no formato .pem.

tlsMMSServerClientCertificatePassword

Condicional

Se você codificou o arquivo tlsMMSServerClientCertificate .pem, forneça a senha necessária para descriptografá-la.

3

Clique em Save.

4

Reinicie o MongoDB Agent.

Voltar

Criptografar credenciais de usuário

Próximo

Banco de dados de aplicativos seguro