Menu Docs
Página inicial do Docs
/
MongoDB Ops Manager
/
Segurança

Configurar conexões TLS com o Ops Manager

Nesta página

  • Pré-requisitos
  • Configurar o Aplicativo de Ops Manager para TLS
  • Configurar agentes MongoDB para usar o TLS

Você pode configurar o Ops Manager para criptografar conexões de todos os agentes do MongoDB com o Ops Manager, de clientes do site com o aplicativo de Ops Manager e de clientes da API à REST API.

Para criptografar conexões, você pode:

  • Configurar um proxy HTTPS na frente do Ops Manager, ou

  • Executar o aplicativo de Ops Manager em HTTPS, conforme descrito nesta página.

O procedimento seguinte configura o Ops Manager com um arquivo .pem que contém o certificado TLS do host do Ops Manager.

O MongoDB Agent usa HTTPS após concluir o procedimento com êxito.

Dica

Veja também:

Para saber mais sobre arquivos .pem, leia a seção sobre arquivos .pem no manual do MongoDB.

Pré-requisitos

  • Atualize para ou instale o MongoDB Agent.

  • Adicione quaisquer configurações personalizadas relacionadas ao TLS à configuração do MongoDB Agent.

Configurar o aplicativo Ops Manager para TLS

1

Carregue o arquivo de certificado para cada host do Ops Manager.

  1. Carregue seu arquivo .pem para cada host do aplicativo de Ops Manager. Esse certificado deve ser carregado em cada host do Ops Manager para que eles possam aceitar conexões TLS.

  2. Altere o proprietário do arquivo .pem para o usuário e grupo que possui o processo do Ops Manager.

  3. Altere as permissões do arquivo .pem para que somente o proprietário do arquivo possa ler e gravar o arquivo.

2

Ative o TLS para o aplicativo de Ops Manager.

  1. Clique em Admin no aplicativo Ops Manager para visualizar a interface do Admin.

  2. Clique na aba General

  3. Clique em Ops Manager Config.

  4. Clique em Web Server & Email.

  5. Defina as seguintes opções no cabeçalho Web Server :

    Opção
    em ação

    Forneça o URL completo do aplicativo de Ops Manager, incluindo a porta 8443 para acesso HTTPS.

    Por exemplo:

    https://opsmanager.example.com:8443
    Digite o caminho do sistema de arquivos absoluto onde o arquivo .pem está localizado em todos os hosts do Ops Manager nesta caixa.
    Se você criptografou o arquivo de chave HTTPS PEM, digite a senha necessária para descriptografá-lo nesta caixa.

    Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um Ops Manager habilitado para TLS. O Ops Manager verifica certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

    Os valores aceitos são:

    • None

    • Required for Agents Only

    • Required for All Requests

  6. Clique em Save.

3

(Opcional) Altere a versão mínima do TLS .

No servidor do Ops Manager 4.4.13 e posterior, o aplicativo de Ops Manager requer que seus clientes usem o TLS versão 1.2 por padrão.

Para alterar a versão mínima do TLS:

  1. Clique em Admin no aplicativo de Ops Manager para ver a interface do Admin.

  2. Clique na aba General

  3. Clique em Ops Manager Config.

  4. Clique em Custom.

  5. Configure a versão TLS mínima.

  6. Insira mms.minimumTLSVersion na caixa Key.

  7. Insira uma versão TLS mínima na caixa Value.

    Os seguintes valores são aceitos:

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. Clique em Save.

4

(Opcional) Especifique quais conjuntos de cifras TLS você deseja excluir.

Para excluir conjuntos de codificação TLS específicos das conexões TLS com o aplicativo de Ops Manager.

  1. Clique em Admin no aplicativo de Ops Manager para ver a interface do Admin.

  2. Clique na aba General

  3. Clique em Ops Manager Config.

  4. Clique em Custom.

  5. Insira mms.disableCiphers na caixa Key.

  6. Insira uma lista separada por vírgula de conjuntos de cifras para desabilitar na caixa Value.

    Importante

    Os nomes de conjunto de cifras usados no MongoDB Ops Manager devem seguir RFC 5246 convenções de nomenclatura. Não utilize a convenção de nomenclatura OpenSSL.

    Por exemplo, use TLS_RSA_WITH_NULL_SHA256, não NULL-SHA256.

  7. Clique em Save.

5

Reinicie cada host do Ops Manager para habilitar o TLS.

Reinicie o aplicativo de Ops Manager de acordo com as instruções para Iniciar e parar o aplicativo de Ops Manager.

Configurar agentes MongoDB para usar o TLS

Em cada host MongoDB em seu cluster:

1

Abra o arquivo de configuração do MongoDB Agent em seu editor de texto preferido.

O local do arquivo de configuração do MongoDB Agent depende da sua plataforma:

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

Altere mmsBaseUrl as configurações do e TLS .

Defina ou adicione as seguintes propriedades quando necessário:

Opção
necessidade
em ação
Obrigatório

Configure este valor para corresponder à URL que você inseriu na caixa URL to Access Ops Manager.

IMPORTANTE: Certifique-se de atualizar esta propriedade e a caixa URL to Access Ops Manager . Ambos os valores devem corresponder. Se Monitoramento e Backup estiverem habilitados para o MongoDB Agent, eles usarão o URL to Access Ops Manager configurado no servidor do MongoDB Ops Manager , a menos que a configuração de monitoramento personalizado do mmsBaseURL esteja definida para o MongoDB Agent. Para obter mais informações, consulte as Configurações de monitoramento do MongoDB Agent .

Condicional

Defina esse valor como true se todas as condições a seguir se aplicarem:

  • Você quer que o agente valide os certificados TLS do Ops Manager.

  • Você assinou os certificados TLS dos hosts do Ops Manager com uma autoridade de certificação externa conhecida ou com uma autoridade de certificação autoassinada.

Se definir este valor para true, você deverá definir httpsCAFile.

Condicional

Se você estiver usando seus próprios arquivos de .pem de Autoridade de Certificação autoassinados, adicione essa propriedade e defina-a como o caminho absoluto para o arquivo de Autoridade de Certificação no host do MongoDB.

IMPORTANTE: esse arquivo de autoridade de certificação deve estar no mesmo local em cada host do MongoDB no mesmo cluster fragmentado ou conjunto de réplicas. Qualquer host do MongoDB que não tenha o arquivo no mesmo local que os outros pode ficar inacessível.

Adicione a autoridade de certificação para o certificado downloads.mongodb.com a este arquivo .pem se você:

  1. Precisa que seus MongoDB Agents baixem seu MongoDB
    instaladores da Internet,

  2. Use TLS para criptografar conexões, e

  3. Assinou seus certificados com uma CA privada. (Você definiu a opção httpsCAFile.)

Para saber como baixar certificados TLS de outro site, consulte a entrada OpenSSL Cookbook.

Condicional
Se você configurar o Client Certificate Mode no Ops Manager como Required for Agents Only ou Required for All Requests, adicione este valor e especifique o caminho absoluto para o arquivo que contém a chave privada do cliente, certificado e certificados intermediários opcionais no formato .pem.
Condicional
Se você codificou o arquivo tlsMMSServerClientCertificate .pem, forneça a senha necessária para descriptografá-la.
3

Clique Save.

4

Reinicie o MongoDB Agent.

Voltar

Criptografar credenciais de usuário

Próximo

Conexões seguras com o banco de dados de aplicativos