Docs 菜单
Docs 主页
/
MongoDB Ops Manager
/
安全性

配置与 Ops Manager 的 TLS 连接

在此页面上

  • 先决条件
  • TLS 配置 Ops Manager 应用程序
  • 配置 MongoDB 助手以使用 TLS

您可以将 Ops Manager 配置为加密以下二者之间的连接:从所有 MongoDB 助手到 Ops Manager、从网站客户端到 Ops Manager 应用程序,以及从 API 客户端到 REST API

要加密连接,您可以:

  • 在 Ops Manager 前面设置 HTTPS 代理,或者

  • 通过 HTTPS 运行 Ops Manager 应用程序,如本页所述。

以下步骤使用一个包含 Ops Manager 主机的 TLS 证书的 .pem文件来配置 Ops Manager。

成功完成该步骤后,MongoDB 助手会使用 HTTPS

提示

另请参阅:

要了解有关 .pem 文件的更多信息,请阅读 MongoDB 手册中的 .pem 文件部分

先决条件

  • 更新安装 MongoDB 助手。

  • 将任何与 TLS 相关的自定义设置添加到您的 MongoDB 助手配置中。

TLS 配置Ops Manager 应用程序

1

将证书文件上传到每个 Ops Manager 主机。

  1. 将您的.pem文件上传到每个 Ops Manager 应用程序主机。此证书必须上传到每台 Ops Manager 主机,这样它们才能接受 TLS 连接。

  2. .pem文件的所有者更改为拥有 Ops Manager 进程的用户和群组。

  3. 变更 .pem 文件的权限,使只有文件所有者才能读写该文件。

2

为Ops Manager 应用程序启用 TLS 。

  1. 单击 Ops Manager 应用程序中的 Admin 查看 Admin 界面。

  2. 单击 General 标签页

  3. 单击 Ops Manager Config(连接)。

  4. 单击 Web Server & Email(连接)。

  5. Web Server 标题下设置以下选项:

    选项
    操作

    提供 Ops Manager 应用程序的完整 URL,包括用于 HTTPS 访问的端口 8443

    例如:

    https://opsmanager.example.com:8443
    在此框中,输入 .pem 文件在所有 Ops Manager 主机所在的绝对文件系统路径。
    如果您已加密 HTTPS PEM 密钥文件,请在此框中输入解密所需的密码。

    选择在连接到启用 TLS 的 Ops Manager 时客户端应用程序或 MongoDB 助手是否必须提供 TLS 证书。Ops Manager 会在这些客户端主机尝试连接时检查其证书。如果选择要求客户端提供 TLS 证书,请确保证书有效。

    接受的值为:

    • None

    • Required for Agents Only

    • Required for All Requests

  6. 单击 Save(连接)。

3

(可选) 更改最低 TLS 版本。

Ops Manager Server 4.4.13 及更高版本中,Ops Manager 应用程序要求其客户端默认使用 TLS 1.2 版本。

要更改最低 TLS 版本,请执行以下操作:

  1. 单击 Ops Manager 应用程序中的 Admin 查看 Admin 界面。

  2. 单击 General 标签页

  3. 单击 Ops Manager Config(连接)。

  4. 单击 Custom(连接)。

  5. 配置最低 TLS 版本。

  6. Key 框中输入 mms.minimumTLSVersion

  7. Value 框中输入最低 TLS 版本。

    可接受以下值:

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. 单击 Save(连接)。

4

(可选) 指定要排除的 TLS 密码套件。

从与 Ops Manager 应用程序的 TLS 连接中排除特定的 TLS 密码套件。

  1. 单击 Ops Manager 应用程序中的 Admin 查看 Admin 界面。

  2. 单击 General 标签页

  3. 单击 Ops Manager Config(连接)。

  4. 单击 Custom(连接)。

  5. Key 框中输入 mms.disableCiphers

  6. Value 框中输入以逗号分隔的要禁用的密码套件列表。

    重要

    MongoDB Ops Manager中使用的密码套件名称必须遵循 RFC5246 命名规则。请勿使用 OpenSSL 命名规则。

    示例,使用TLS_RSA_WITH_NULL_SHA256 ,而不是NULL-SHA256

  7. 单击 Save(连接)。

5

重新启动每个Ops Manager托管以启用 TLS

按照启动和停止 Ops Manager 应用程序的说明,重启 Ops Manager 应用程序。

配置MongoDB助手以使用 TLS

在集群中的每个 MongoDB 主机上,请执行以下操作:

1

用首选文本编辑器打开 MongoDB 助手配置文件。

MongoDB 助手配置文件的位置取决于您的平台:

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

更改mmsBaseUrl TLS 设置。

根据需要设置或添加以下属性:

选项
必要性
操作
必需

设置该值以匹配您在 URL to Access Ops Manager 框中输入的 URL

重要提示:请确保同时更新此属性和URL to Access Ops Manager框。 两个值必须匹配。 如果为MongoDB Agent启用了监控和备份,则它们使用MongoDB Ops Manager服务器上配置的URL to Access Ops Manager ,除非为MongoDB Agent设立了mmsBaseURL自定义监控设置。 有关更多信息,请参阅MongoDB Agent监控设置。

可选的

如果满足以下所有条件,请将该值设置为 true

  • 您希望助手验证 Ops Manager 的 TLS 证书。

  • 您使用已知的外部证书颁发机构或自签名证书颁发机构签署了 Ops Manager 主机的 TLS 证书。

如果将该值设置为 true,则必须设置 httpsCAFile

可选的

如果您使用自己的自签名证书颁发机构 .pem 文件,请添加此属性并将其设置为 MongoDB 主机上证书颁发机构文件的绝对路径。

重要提示:此证书颁发机构文件必须位于同一分片分片集群或副本集的每个MongoDB托管上的同一位置。 任何MongoDB托管如果没有与其他主机位于同一文件位置,则可能文件访问。

如果您执行以下操作,请将 downloads.mongodb.com 证书的证书颁发机构添加到此 .pem 文件:

  1. 需要MongoDB助手下载他们的MongoDB
    来自 Internet 的安装程序,

  2. 使用 TLS 加密连接,以及

  3. 已使用私有 CA 对证书进行签名。(您设置了 httpsCAFile 选项。)

要学习;了解如何从其他站点下载TLS 证书,请参阅 OpenSSL Cookbook 条目。

可选的
如果您在 Ops Manager 中将 Client Certificate Mode 设置为 Required for Agents OnlyRequired for All Requests,请添加此值,并以 .pem 格式指定包含客户端私钥、证书和可选中间证书的文件的绝对路径。
可选的
如果您已加密 tlsMMSServerClientCertificate .pem 文件,请提供解密该文件所需的密码。
3

单击Save

4

重新启动 MongoDB 助手。

后退

加密用户凭证

来年

与应用数据库的安全连接