为一个部署启用 TLS
在此页面上
为了使 Ops Manager 监控、部署或备份使用 TLS的 MongoDB 部署,您必须为 Ops Manager 项目启用TLS 。
Considerations
不在范围内的主题
传输层安全 性 的完整说明 , 公钥基础设施 , X。509 证书和 证书颁发机构 超出了本教程的范围。本教程假定您已了解TLS并可访问有效的 X. 509证书。
先决条件
在每个 MongoDB 主机上获取并安装 TLS 证书
为 MongoDB 进程提供服务的每个主机获取TLS证书。 此证书必须包含此 MongoDB 主机的主机名的FQDN 。 FQDN必须是该主机的主题备用名称。 您必须在 MongoDB 主机上安装此TLS证书。
警告
从版本 11.12.0.7384 开始的MongoDB Agent助手 要求TLS证书在“主题备用名称”字段中包含一个值。 在升级到11.12.0.7384之前, 确保MongoDB 部署中使用的所有TLS证书都包含SAN 。 要学习;了解更多信息,请参阅确保 TLS 证书包含主题备用名称。
步骤
重要
将现有部署设置为使用 TLS
重要
通过Client Certificate Mode设置,您可以设置客户端是否必须提供TLS证书才能连接到项目中的部署。 如果为项目启用TLS ,则所有部署都必须使用TLS 。
如果您希望为您的 Ops Manager 项目中的现有 MongoDB 部署启用TLS :
设置 TLS/SSL初创企业选项。
单击Add Option添加以下每个选项:
选项必需值必需
选择
requireTLS
。必需
提供服务器证书的绝对路径。
必需
Optional
如果要启用 FIPS 模式,请选择
true
。添加每个选项后,单击Add 。
添加所需选项后,单击Save 。
为项目启用 TLS
选择您的身份验证机制。
在Select Authentication Mechanisms屏幕上,启用一个或多个身份验证机制。
TLS适用于所有身份验证机制。
单击 Next(连接)。
指定 TLS 设置。
字段 | 操作 |
---|---|
MongoDB 部署传输层安全 (TLS) | 将此滑块切换至 ON(开启)。 |
TLS CA 文件路径 | TLS 证书颁发机构文件是
在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:
这将为项目中的 MongoDB 进程启用 单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。 |
集群 TLS CA 文件路径 | 包含来自证书授权机构的根证书链的 如果不指定
|
客户端证书模式 |
如果您从使用自动化的部署更新到 MongoDB Agent,则 MongoDB Agent将托管TLS设置。
如果您从未使用自动化但具有备份代理、监控代理或两者的部署更新到MongoDB Agent ,则可以在代理更新期间或通过以下过程进行特定于备份代理和监控代理的设置:
导航到Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration 。
单击 。
在Backup Configurations部分下:
在Setting框中键入所需的设置,并在Value框中键入相应的值。
要添加多个Setting ,请单击+ Add Setting链接。 出现另一行。
重复此操作,直到添加所有设置。
在Monitoring Configurations部分下:
在Setting框中键入所需的设置,并在Value框中键入相应的值。
要添加多个Setting ,请单击+ Add Setting链接。 出现另一行。
重复此操作,直到添加所有设置。
您可以单击删除已添加的所有设置。