Menu Docs
Página inicial do Docs
/
MongoDB Ops Manager
/
Segurança

Habilitar TLS para uma implantação

Nesta página

  • Considerações
  • Pré-requisitos
  • Procedimentos

Para que o Ops Manager monitore, distribua ou faça backup de uma MongoDB deployment que usa TLS, você deve habilitar o TLS para o projeto do Ops Manager.

Considerações

Tópicos que não estão no escopo

Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do TLS e o acesso a certificados X.509 válidos.

Observação

Se você deseja redefinir as configurações de autenticação e TLS para seu projeto, primeiro deixe de gerenciar qualquer MongoDB deployment que o MongoDB Ops Manager gerencia em seu projeto.

Pré-requisitos

Obtenha e instale o certificado TLS em cada host MongoDB

Adquira um certificado TLS para cada host que atende a um processo MongoDB . Este certificado deve incluir o FQDN para o nome deste host MongoDB . O FQDN pode ser o nome comum ou o nome alternativo do assunto deste host. Você deve instalar este certificado TLS no host MongoDB .

Aviso

O MongoDB Agent da versão 11.12.0.7384 exige que os certificados TLS incluam um valor no campo nome alternativo do assunto . Antes de atualizar para 11.12.0.7384, certifique-se de que todos os certificados TLS usados em sua implementação do MongoDB contenham um SAN. Para saber mais, consulte Garantir que os certificados TLS contenham um nome alternativo do assunto.

Procedimentos

Importante

Você deve concluir:

  1. Defina os sistemas existentes para usar TLS, então

  2. Habilitar TLS para o projeto

antes de clicar em Review & Deploy.

Definir implantações existentes para usar o TLS

Importante

Com a configuração Client Certificate Mode , você pode definir se o cliente deve apresentar um certificado TLS para se conectar aos sistemas em seu projeto. Se você habilitar o TLS para seu projeto, toda a implantação deverá usar o TLS.

Se você deseja ativar o TLS para sistemas MongoDB existentes em seu projeto do Ops Manager:

1

Navegue até a Clusters caixa de visualização do seu sistema.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se ainda não estiver exibido, clique em Deployment na barra lateral.

  1. Clique na visualização Clusters.

2

Na linha listando o processo, clique Modify em .

3

Expanda a Advanced Configuration Options seção.

4

Defina as opções de inicializaçãodo TLS/SSL.

  1. Clique em Add Option para adicionar cada uma das seguintes opções:

    Opção
    Obrigatório
    Valor
    Obrigatório
    Selecione requireTLS.
    Obrigatório
    Forneça o caminho absoluto para o certificado do servidor.
    Obrigatório

    Forneça a senha do arquivo de chave PEM se você o tiver criptografado.

    Importante

    Se a chave privada criptografada para o .pem arquivo de certificado estiver em PKCS #8 formato, ele deve usar PBES2 operações de criptografia. O MongoDB Agent não suporta PKCS #8 com outras operações de criptografia.

    Opcional
    Selecione true se quiser habilitar o modo FIPS.

  2. Após adicionar cada opção, clique em Add.

  3. Após adicionar as opções exigidas, clique em Save.

Habilitar TLS para o projeto

1

Navegue até a Security Settings caixa de diálogo para seu sistema.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se ainda não estiver exibido, clique em Deployment na barra lateral.

  1. Clique na aba Security.

  2. Clique na aba Settings.

  3. Realize uma das seguintes ações:

    • Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.

    • Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.

2

Escolha seus mecanismos de autenticação.

  1. Na tela Select Authentication Mechanisms , habilite um ou mais mecanismos de autenticação.

    O TLS funciona com todos os mecanismos de autenticação.

  2. Clique em Next.

3

Especifique as Configurações do TLS.

Campo
em ação
MongoDB Deployment Transport Layer Security (TLS)
Alterne este controle deslizante para ON.
Caminho do arquivo TLS CA

O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato .pem que contém a cadeia de certificados raiz da autoridade de certificação. O MongoDB Agent usa esse mesmo arquivo de autoridade de certificação para se conectar a cada item em seu sistema.

A chave privada criptografada para o .pem arquivo de certificado deve estar em PKCS #1 formato. O MongoDB Agent não é compatível com o PKCS #8 formato.

Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:

  • Digite o caminho do arquivo em todos os hosts Linux na primeira caixa.

  • Digite o caminho do arquivo em todos os hosts do Windows na segunda caixa.

Isto habilita a configuração do net.tls.CAFile para os processos do MongoDB no projeto.

Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados.

Modo de certificado de cliente

Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

Os valores aceitos são:

Opcional
Cada cliente pode apresentar um certificado TLS válido ao conectar a MongoDB deployments. Os MongoDB Agents podem usar certificados TLS se você não definir mongod tlsMode como None.
Obrigatório
Todo sistema do MongoDB neste projeto começa com conexões de rede criptografadas por TLS. Todos os agentes devem usar o TLS para se conectar a qualquer sistema do MongoDB.
4

Configure os agentes MongoDB.

  1. Na lista Agent Auth Mechanism , clique nos mesmos mecanismos de autenticação que você criou para o projeto.

  2. Siga o procedimento para configurar o MongoDB Agent para usar esse método de autenticação:

Observação

Se você tivesse certificados TLS para agente legado, consulte E se eu tivesse certificados TLS para agente de monitoramento? no final deste procedimento para orientação.

5

Clique Save em para definir suas alterações.

6

Clique Review & Deploy em para rever as suas alterações.

O Ops Manager exibe as alterações propostas.

  1. Se estiver satisfeito, clique em Confirm & Deploy.

  2. Para fazer mais alterações de configuração, clique em Cancel. Clique em Modify para o cluster fazer alterações adicionais.

  • Se você atualizou para o MongoDB Agent a partir de sistemas que usaram a automação, o MongoDB Agent managed as configurações do TLS .

  • Se você atualizou para o MongoDB Agent a partir de sistemas que não usavam automação, mas tinha agentes de backup, agentes de monitoramento ou ambos, você poderá definir as configurações específicas do agente de backup e do agente de monitoramento durante a atualização do agente ou por meio do seguinte procedimento:

    1. Navegue até Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration.

    2. Clique em .

    3. Na seção Backup Configurations :

      1. Digite a configuração desejada na caixa Setting e seu valor correspondente na caixa Value .

      2. Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.

      3. Repita até que todas as configurações tenham sido adicionadas.

    4. Na seção Monitoring Configurations :

      1. Digite a configuração desejada na caixa Setting e o valor correspondente na caixa Value .

      2. Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.

      3. Repita até que todas as configurações tenham sido adicionadas.

    Você pode clicar em para remover as configurações adicionadas.

Voltar

Banco de dados de aplicativos seguro

Próximo

Configurar LDAP