Docs 菜单
Docs 主页
/
MongoDB Ops Manager
/

为一个部署启用 TLS

在此页面上

  • Considerations
  • 先决条件
  • 步骤

为了使 Ops Manager 监控、部署或备份使用 TLS的 MongoDB 部署,您必须为 Ops Manager 项目启用TLS

传输层安全 性 的完整说明 公钥基础设施 , X。509 证书和 证书颁发机构 超出了本教程的范围。本教程假定您已了解TLS并可访问有效的 X. 509证书。

注意

如果要 重置项目的 身份验证和 TLS MongoDB设置 ,请先取消管理MongoDB Ops Manager 在项目中 管理的任何 部署 。

为 MongoDB 进程提供服务的每个主机获取TLS证书。 此证书必须包含此 MongoDB 主机的主机名的FQDNFQDN必须是该主机的主题备用名称。 您必须在 MongoDB 主机上安装此TLS证书。

警告

从版本 11.12.0.7384 开始的MongoDB Agent助手 要求TLS证书在“主题备用名称”字段中包含一个值。 在升级到11.12.0.7384之前, 确保MongoDB 部署中使用的所有TLS证书都包含SAN 。 要学习;了解更多信息,请参阅确保 TLS 证书包含主题备用名称。

重要

您必须完成:

  1. 将现有部署设置为使用 TLS ,然后

  2. 为项目启用 TLS

单击 Review & Deploy之前。

重要

通过Client Certificate Mode设置,您可以设置客户端是否必须提供TLS证书才能连接到项目中的部署。 如果为项目启用TLS ,则所有部署都必须使用TLS

如果您希望为您的 Ops Manager 项目中的现有 MongoDB 部署启用TLS

1
  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  1. 单击 Clusters(集群)视图。

2
3
4
  1. 单击Add Option添加以下每个选项:

    选项
    必需

    必需

    选择 requireTLS

    必需

    提供服务器证书的绝对路径。

    必需

    如果已加密,请提供 PEM 密钥文件密码。

    重要提示: 如果 证书文件的加密私钥位于.pem PKCS #8 格式,则必须使用 PBES2 加密操作。MongoDB Agent不支持将 PKCS #8 与其他加密操作结合使用。

    Optional

    如果要启用 FIPS 模式,请选择true

  2. 添加每个选项后,单击Add

  3. 添加所需选项后,单击Save

1
  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。

  3. 如果尚未出现,请单击侧边栏中的 Deployment(部署)。

  1. 单击 Security 标签页。

  2. 单击 Settings 标签页。

  3. 执行以下操作之一:

    • 如果这是您第一次为此项目配置 TLS、身份验证或授权设置,请单击 Get Started(开始使用)。

    • 如果已经为此项目配置 TLS 身份验证或授权设置,请单击 Edit(编辑)。

2
  1. Select Authentication Mechanisms屏幕上,启用一个或多个身份验证机制。

    TLS适用于所有身份验证机制。

  2. 单击 Next(连接)。

3
字段
操作

MongoDB 部署传输层安全 (TLS)

将此滑块切换至 ON(开启)。

TLS CA 文件路径

TLS 证书颁发机构文件是 .pem 格式的证书文件,其中包含来自证书颁发机构的根证书链。MongoDB 助手使用相同的证书颁发机构文件连接到部署中的每个项目。

.pem证书文件的加密私钥必须采用 PKCS #1 格式。MongoDB Agent不支持 PKCS #8 格式。

在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:

  • 在第一个框中键入所有 Linux 主机上的文件路径。

  • 在第二个框中键入所有 Windows 主机上的文件路径。

这将为项目中的 MongoDB 进程启用net.tls.CAFile设置。

单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。

集群 TLS CA 文件路径

包含来自证书授权机构的根证书链的 .pem 文件,用于验证建立连接的客户端提供的证书。使用相对或绝对路径指定 .pem 文件的文件名。net.tls.clusterCAFile 要求设置 net.tls.CAFile

如果不指定net.tls.clusterCAFile ,集群将使用net.tls.CAFile选项中指定的.pem文件。

net.tls.clusterCAFile 允许您使用单独的证书颁发机构来验证 TLS 握手的客户端到服务器和服务器到客户端部分。

客户端证书模式

选择在连接到启用 TLS 的 MongoDB 部署时客户端应用程序或 MongoDB 助手是否必须提供 TLS 证书。每个 MongoDB 部署都会在这些客户端主机尝试连接时检查来自这些客户端主机的证书。如果选择要求客户端 TLS 证书,请确保它们有效。

接受的值为:

Optional

连接到 MongoDB 部署时,每个客户端都可以提供有效的TLS证书。 如果您mongodtlsMode 设置为 ,MongoDB 助手可能会使用 TLSNone 证书。

必需

此项目中的每个 MongoDB 部署都从 TLS 加密的网络连接开始。所有助手都必须使用 TLS 连接到任何 MongoDB 部署。

4
  1. Agent Auth Mechanism列表中,单击您为项目所做的相同身份验证机制。

  2. 按照以下步骤配置MongoDB Agent以使用该身份验证方法:

注意

如果您有旧版代理的TLS证书,请参阅如果我有旧版备份或监控代理的 TLS 证书怎么办?获取指导。

5
6

Ops Manager 会显示建议进行的更改。

  1. 如果满意,请单击 Confirm & Deploy(确认和部署)。

  2. 如果要进一步更改配置,请单击 Cancel(取消)。单击集群的 Modify(修改)进行其他更改。

  • 如果您从使用自动化的部署更新到 MongoDB Agent,则 MongoDB Agent将托管TLS设置。

  • 如果您从未使用自动化但具有备份代理、监控代理或两者的部署更新到MongoDB Agent ,则可以在代理更新期间或通过以下过程进行特定于备份代理和监控代理的设置:

    1. 导航到Deployment Agents Downloads & Settings Custom Configurations Edit Custom Configuration

    2. 单击

    3. Backup Configurations部分下:

      1. Setting框中键入所需的设置,并在Value框中键入相应的值。

      2. 要添加多个Setting ,请单击+ Add Setting链接。 出现另一行。

      3. 重复此操作,直到添加所有设置。

    4. Monitoring Configurations部分下:

      1. Setting框中键入所需的设置,并在Value框中键入相应的值。

      2. 要添加多个Setting ,请单击+ Add Setting链接。 出现另一行。

      3. 重复此操作,直到添加所有设置。

    您可以单击删除已添加的所有设置。

后退

保护应用程序数据库