Menu Docs
Página inicial do Docs
/
MongoDB Ops Manager
/
Segurança

Habilitar TLS para uma implantação

Nesta página

Para que o Ops Manager monitore, implante ou faça backup de uma implantação do MongoDB que use TLS, você deve habilitar o TLS para o projeto do Ops Manager.

Considerações

Tópicos que não estão no escopo

Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do TLS e o acesso a certificados X.509 válidos.

Observação

Se você quiser redefinir as configurações de autenticação e TLS para o seu projeto, primeiro desmarque qualquer MongoDB que o Ops Manager managed no seu projeto.

Pré-requisitos

Obtenha e instale o certificado TLS em cada host MongoDB

Adquira um certificado TLS para cada host que atende a um processo MongoDB. Este certificado deve incluir o FQDN para o nome deste host MongoDB. O FQDN pode ser o nome comum ou o nome alternativo do assunto deste host. Você deve instalar este certificado TLS no host MongoDB.

Aviso

O MongoDB Agent da versão 11.12.0.7384 exige que os certificados TLS incluam um valor no campo nome alternativo do assunto . Antes de atualizar para 11.12.0.7384, certifique-se que todos os certificados TLS usados em sua implantação do MongoDB contenham um SAN. Para saber mais, consulte Garantir que os certificados TLS contenham um nome alternativo do assunto.

Procedimentos

Importante

Você deve concluir:

  1. Defina os sistemas existentes para usar TLS, então

  2. Habilitar TLS para o projeto

antes de clicar em Review & Deploy.

Definir implantações existentes para usar o TLS

Importante

Com a configuração Client Certificate Mode , você pode definir se o cliente deve apresentar um certificado TLS para se conectar aos sistemas em seu projeto. Se você habilitar o TLS para seu projeto, toda a implantação deverá usar o TLS.

Se você deseja ativar o TLS para sistemas MongoDB existentes em seu projeto do Ops Manager:

1

Navegue até a caixa de visualização Clusters de seu sistema.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se ainda não estiver exibido, clique em Deployment na barra lateral.

  1. Clique na visualização Clusters.

2

Na linha listando o processo, clique em Modify.

3

Expanda a seção Advanced Configuration Options.

4

Defina as opções de inicialização do TLS/ SSL .

  1. Clique em Add Option para adicionar cada uma das seguintes opções:

    Opção
    Obrigatório
    Valor

    tlsMode

    Obrigatório

    Selecione requireTLS.

    tlsCertificateKeyFile

    Obrigatório

    Forneça o caminho absoluto para o certificado do servidor.

    tlsCertificateKeyFilePassword

    Obrigatório

    Forneça a senha do arquivo de chave PEM se você o tiver criptografado.

    Importante

    Se a chave privada criptografada para o .pem arquivo de certificado estiver em PKCS #8 formato, ele deve usar PBES2 operações de criptografia. O MongoDB Agent não suporta PKCS #8 com outras operações de criptografia.

    tlsFIPSMode

    Opcional

    Selecione true se quiser habilitar o modo FIPS.

  2. Após adicionar cada opção, clique em Add.

  3. Após adicionar as opções exigidas, clique em Save.

Habilitar TLS para o projeto

1

Navegue até a caixa de diálogo Security Settings para a implantação.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se ainda não estiver exibido, clique em Deployment na barra lateral.

  1. Clique na aba Security.

  2. Clique na aba Settings.

  3. Realize uma das seguintes ações:

    • Se esta é a primeira vez que você define as configurações de TLS, autenticação ou autorização para esse projeto, clique em Get Started.

    • Se você já tiver configurado a autenticação TLS ou as definições de autorização para esse projeto, clique em Edit.

2

Escolha seus mecanismos de autenticação.

  1. Na tela Select Authentication Mechanisms , habilite um ou mais mecanismos de autenticação.

    O TLS funciona com todos os mecanismos de autenticação.

  2. Clique em Next.

3

Especifique as Configurações do TLS .

Campo
em ação

MongoDB Deployment Transport Layer Security (TLS)

Alterne este controle deslizante para ON.

Caminho do arquivo TLS CA

O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato .pem que contém a cadeia de certificados raiz da autoridade de certificação. O MongoDB Agent usa esse mesmo arquivo de autoridade de certificação para se conectar a cada item em sua implantação.

A chave privada criptografada para o .pem arquivo de certificado deve estar em PKCS #1 formato. O MongoDB Agent não é compatível com o PKCS #8 formato.

Digite o caminho do arquivo para o arquivo da autoridade de certificação TLS em cada host que executa um processo do MongoDB:

  • Digite o caminho do arquivo em todos os hosts Linux na primeira caixa.

  • Digite o caminho do arquivo em todos os hosts do Windows na segunda caixa.

Isto habilita a configuração do net.tls.CAFile para os processos do MongoDB no projeto.

Clique em Validate para testar se cada host na sua implantação tem uma autoridade de certificado TLS nos caminhos especificados.

Modo de certificado de cliente

Selecione se os aplicativos clientes ou os agentes do MongoDB devem apresentar um certificado TLS ao se conectarem a implantações do MongoDB habilitadas para TLS. Cada implantação do MongoDB verifica certificados desses hosts clientes quando tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

Os valores aceitos são:

Opcional

Cada cliente pode apresentar um certificado TLS válido ao conectar a MongoDB deployments. Os MongoDB Agents podem usar certificados TLS se você não definir mongod tlsMode como None.

Obrigatório

Toda implantação do MongoDB neste projeto começa com conexões de rede criptografadas por TLS. Todos os agentes devem usar o TLS para se conectar a qualquer implantação do MongoDB.

4

Configure os agentes MongoDB.

  1. Na lista Agent Auth Mechanism , clique nos mesmos mecanismos de autenticação que você criou para o projeto.

  2. Siga o procedimento para configurar o MongoDB Agent para usar esse método de autenticação:

Observação

Se você tivesse certificados TLS para agentes legados, consulte E se eu tivesse certificados TLS para agentes legados de backup ou monitoramento? no final deste procedimento para obter orientação.

5

Clique em Save para definir suas alterações.

6

Clique em Review & Deploy para revisar as suas alterações.

O Ops Manager exibe as alterações propostas.

  1. Se estiver satisfeito, clique em Confirm & Deploy.

  2. Para fazer mais alterações de configuração, clique em Cancel. Clique em Modify para o cluster fazer alterações adicionais.

  • Se você atualizou para o MongoDB Agent a partir de implantações que usaram a automação, o MongoDB Agent gerenciará as configurações do TLS .

  • Se você atualizou para o MongoDB Agent a partir de sistemas que não usavam automação, mas tinha agentes de backup, agentes de monitoramento ou ambos, você poderá definir as configurações específicas do agente de backup e do agente de monitoramento durante a atualização do agente ou por meio do seguinte procedimento:

    1. Navegue até Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration.

    2. Clique em .

    3. Na seção Backup Configurations :

      1. Digite a configuração desejada na caixa Setting e seu valor correspondente na caixa Value .

      2. Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.

      3. Repita até que todas as configurações tenham sido adicionadas.

    4. Na seção Monitoring Configurations :

      1. Digite a configuração desejada na caixa Setting e o valor correspondente na caixa Value .

      2. Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.

      3. Repita até que todas as configurações tenham sido adicionadas.

    Você pode clicar em para remover as configurações adicionadas.

Voltar

Banco de dados de aplicativos seguro

Próximo

Configurar LDAP