Configurar conexões TLS com o Ops Manager
Nesta página
Você pode configurar o Ops Manager para criptografar conexões de todos os agentes do MongoDB com o Ops Manager, de clientes do site com o aplicativo de Ops Manager e de clientes da API à REST API.
Para criptografar conexões, você pode:
Configurar um proxy HTTPS na frente do Ops Manager, ou
Executar o aplicativo de Ops Manager em HTTPS, conforme descrito nesta página.
O procedimento seguinte configura o Ops Manager com um arquivo .pem
que contém o certificado TLS do host do Ops Manager.
O MongoDB Agent usa HTTPS após concluir o procedimento com êxito.
Dica
Veja também:
Para saber mais sobre arquivos .pem
, leia a seção sobre arquivos .pem no manual do MongoDB.
Pré-requisitos
Atualize para ou instale o MongoDB Agent.
Adicione quaisquer configurações personalizadas relacionadas ao TLS à configuração do MongoDB Agent.
Configurar o aplicativo Ops Manager para TLS
Carregue o arquivo de certificado para cada host do Ops Manager.
Carregue seu arquivo
.pem
para cada host do aplicativo de Ops Manager. Esse certificado deve ser carregado em cada host do Ops Manager para que eles possam aceitar conexões TLS.Altere o proprietário do arquivo
.pem
para o usuário e grupo que possui o processo do Ops Manager.Altere as permissões do arquivo
.pem
para que somente o proprietário do arquivo possa ler e gravar o arquivo.
Ative o TLS para o aplicativo de Ops Manager.
Clique em Admin no aplicativo Ops Manager para visualizar a interface do Admin.
Clique na aba General
Clique em Ops Manager Config.
Clique em Web Server & Email.
Defina as seguintes opções no cabeçalho Web Server :
Opçãoem açãoForneça o URL completo do aplicativo de Ops Manager, incluindo a porta
8443
para acesso HTTPS.Por exemplo:
https://opsmanager.example.com:8443 Digite o caminho do sistema de arquivos absoluto onde o arquivo
.pem
está localizado em todos os hosts do Ops Manager nesta caixa.Se você criptografou o arquivo de chave HTTPS PEM, digite a senha necessária para descriptografá-lo nesta caixa.
Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um Ops Manager habilitado para TLS. O Ops Manager verifica certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.
Os valores aceitos são:
None
Required for Agents Only
Required for All Requests
Clique em Save.
(Opcional) Altere a versão mínima do TLS.
No servidor do Ops Manager 4.4.13 e posterior, o aplicativo de Ops Manager requer que seus clientes usem o TLS versão 1.2 por padrão.
Para alterar a versão mínima do TLS:
Clique em Admin no aplicativo de Ops Manager para ver a interface do
Admin
.Clique na aba General
Clique em Ops Manager Config.
Clique em Custom.
Configure a versão TLS mínima.
Insira
mms.minimumTLSVersion
na caixa Key.Insira uma versão TLS mínima na caixa Value.
Os seguintes valores são aceitos:
TLSv1
TLSv1.1
TLSv1.2
Clique em Save.
(Opcional) Especifique quais conjuntos de cifras TLS você deseja excluir.
Para excluir conjuntos de codificação TLS específicos das conexões TLS com o aplicativo de Ops Manager.
Clique em Admin no aplicativo de Ops Manager para ver a interface do
Admin
.Clique na aba General
Clique em Ops Manager Config.
Clique em Custom.
Insira
mms.disableCiphers
na caixa Key.Insira uma lista separada por vírgula de conjuntos de cifras para desabilitar na caixa Value.
Importante
Os nomes de conjunto de cifras usados no MongoDB Ops Manager devem seguir RFC 5246 convenções de nomenclatura. Não utilize a convenção de nomenclatura OpenSSL.
Por exemplo, use
TLS_RSA_WITH_NULL_SHA256
, nãoNULL-SHA256
.Clique em Save.
Reinicie cada host do Ops Manager para habilitar o TLS.
Reinicie o aplicativo de Ops Manager de acordo com as instruções para Iniciar e parar o aplicativo de Ops Manager.
Configurar agentes MongoDB para usar o TLS
Em cada host MongoDB em seu cluster:
Altere mmsBaseUrl
as configurações do e TLS.
Defina ou adicione as seguintes propriedades quando necessário:
Opção | necessidade | em ação |
---|---|---|
Obrigatório | Configure este valor para corresponder à URL que você inseriu na caixa URL to Access Ops Manager. IMPORTANTE: Certifique-se de atualizar esta propriedade e a caixa URL to Access Ops Manager . Ambos os valores devem corresponder. Se Monitoramento e Backup estiverem habilitados para o MongoDB Agent, eles usarão o URL to Access Ops
Manager configurado no servidor do MongoDB Ops Manager , a menos que a configuração de monitoramento personalizado do | |
Condicional | Defina esse valor como
Se definir este valor para | |
Condicional | Se você estiver usando seus próprios arquivos de IMPORTANTE: esse arquivo de autoridade de certificação deve estar no mesmo local em cada host do MongoDB no mesmo cluster fragmentado ou conjunto de réplicas. Qualquer host do MongoDB que não tenha o arquivo no mesmo local que os outros pode ficar inacessível. Adicione a autoridade de certificação para o certificado
Para saber como baixar certificados TLS de outro site, consulte a entrada OpenSSL Cookbook. | |
Condicional | Se você configurar o Client Certificate Mode no Ops Manager como | |
Condicional | Se você codificou o arquivo |