Habilitar TLS para uma implantação
Nesta página
Para que o Ops Manager monitore, distribua ou faça backup de uma MongoDB deployment que usa TLS, você deve habilitar o TLS para o projeto do Ops Manager.
Considerações
Tópicos que não estão no escopo
Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do TLS e o acesso a certificados X.509 válidos.
Observação
Se você deseja redefinir as configurações de autenticação e TLS para seu projeto, primeiro deixe de gerenciar qualquer MongoDB deployment que o MongoDB Ops Manager gerencia em seu projeto.
Pré-requisitos
Obtenha e instale o certificado TLS em cada host MongoDB
Adquira um certificado TLS para cada host que atende a um processo MongoDB . Este certificado deve incluir o FQDN para o nome deste host MongoDB . O FQDN pode ser o nome comum ou o nome alternativo do assunto deste host. Você deve instalar este certificado TLS no host MongoDB .
Aviso
O MongoDB Agent da versão 11.12.0.7384 exige que os certificados TLS incluam um valor no campo nome alternativo do assunto . Antes de atualizar para 11.12.0.7384, certifique-se de que todos os certificados TLS usados em sua implementação do MongoDB contenham um SAN. Para saber mais, consulte Garantir que os certificados TLS contenham um nome alternativo do assunto.
Procedimentos
Importante
Você deve concluir:
antes de clicar em Review & Deploy.
Definir implantações existentes para usar o TLS
Importante
Com a configuração Client Certificate Mode , você pode definir se o cliente deve apresentar um certificado TLS para se conectar aos sistemas em seu projeto. Se você habilitar o TLS para seu projeto, toda a implantação deverá usar o TLS.
Se você deseja ativar o TLS para sistemas MongoDB existentes em seu projeto do Ops Manager:
Navegue até a Clusters caixa de visualização do seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na visualização Clusters.
Defina as opções de inicializaçãodo TLS/SSL.
Clique em Add Option para adicionar cada uma das seguintes opções:
OpçãoObrigatórioValorObrigatórioSelecionerequireTLS
.ObrigatórioForneça o caminho absoluto para o certificado do servidor.ObrigatórioOpcionalSelecionetrue
se quiser habilitar o modo FIPS.Após adicionar cada opção, clique em Add.
Após adicionar as opções exigidas, clique em Save.
Habilitar TLS para o projeto
Navegue até a Security Settings caixa de diálogo para seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na aba Security.
Clique na aba Settings.
Realize uma das seguintes ações:
Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.
Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.
Escolha seus mecanismos de autenticação.
Na tela Select Authentication Mechanisms , habilite um ou mais mecanismos de autenticação.
O TLS funciona com todos os mecanismos de autenticação.
Clique em Next.
Especifique as Configurações do TLS.
Campo | em ação | ||||
---|---|---|---|---|---|
MongoDB Deployment Transport Layer Security (TLS) | Alterne este controle deslizante para ON. | ||||
Caminho do arquivo TLS CA | O arquivo da autoridade de certificação TLS é um arquivo de certificado no formato A chave privada criptografada para o Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:
Isto habilita a configuração do Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados. | ||||
Modo de certificado de cliente | Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos. Os valores aceitos são:
|
Configure os agentes MongoDB.
Na lista Agent Auth Mechanism , clique nos mesmos mecanismos de autenticação que você criou para o projeto.
Siga o procedimento para configurar o MongoDB Agent para usar esse método de autenticação:
Observação
Se você tivesse certificados TLS para agente legado, consulte E se eu tivesse certificados TLS para agente de monitoramento? no final deste procedimento para orientação.
Se você atualizou para o MongoDB Agent a partir de sistemas que usaram a automação, o MongoDB Agent managed as configurações do TLS .
Se você atualizou para o MongoDB Agent a partir de sistemas que não usavam automação, mas tinha agentes de backup, agentes de monitoramento ou ambos, você poderá definir as configurações específicas do agente de backup e do agente de monitoramento durante a atualização do agente ou por meio do seguinte procedimento:
Navegue até Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration.
Clique em .
Na seção Backup Configurations :
Digite a configuração desejada na caixa Setting e seu valor correspondente na caixa Value .
Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.
Repita até que todas as configurações tenham sido adicionadas.
Na seção Monitoring Configurations :
Digite a configuração desejada na caixa Setting e o valor correspondente na caixa Value .
Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.
Repita até que todas as configurações tenham sido adicionadas.
Você pode clicar em para remover as configurações adicionadas.