配置与 Ops Manager 的 TLS 连接
您可以将 Ops Manager 配置为加密以下二者之间的连接:从所有 MongoDB 助手到 Ops Manager、从网站客户端到 Ops Manager 应用程序,以及从 API 客户端到 REST API。
要加密连接,您可以:
在 Ops Manager 前面设置 HTTPS 代理,或者
通过 HTTPS 运行 Ops Manager 应用程序,如本页所述。
以下步骤使用一个包含 Ops Manager 主机的 TLS 证书的 .pem
文件来配置 Ops Manager。
成功完成该步骤后,MongoDB 助手会使用 HTTPS。
先决条件
为 TLS 配置Ops Manager 应用程序
为Ops Manager 应用程序启用 TLS 。
单击 Ops Manager 应用程序中的 Admin 查看 Admin 界面。
单击 General 标签页
单击 Ops Manager Config(连接)。
单击 Web Server & Email(连接)。
在 Web Server 标题下设置以下选项:
选项操作提供 Ops Manager 应用程序的完整 URL,包括用于 HTTPS 访问的端口
8443
。例如:
https://opsmanager.example.com:8443 在此框中,输入.pem
文件在所有 Ops Manager 主机所在的绝对文件系统路径。如果您已加密 HTTPS PEM 密钥文件,请在此框中输入解密所需的密码。选择在连接到启用 TLS 的 Ops Manager 时客户端应用程序或 MongoDB 助手是否必须提供 TLS 证书。Ops Manager 会在这些客户端主机尝试连接时检查其证书。如果选择要求客户端提供 TLS 证书,请确保证书有效。
接受的值为:
None
Required for Agents Only
Required for All Requests
单击 Save(连接)。
(可选) 更改最低 TLS 版本。
在 Ops Manager Server 4.4.13 及更高版本中,Ops Manager 应用程序要求其客户端默认使用 TLS 1.2 版本。
要更改最低 TLS 版本,请执行以下操作:
单击 Ops Manager 应用程序中的 Admin 查看
Admin
界面。单击 General 标签页
单击 Ops Manager Config(连接)。
单击 Custom(连接)。
配置最低 TLS 版本。
在 Key 框中输入
mms.minimumTLSVersion
。在 Value 框中输入最低 TLS 版本。
可接受以下值:
TLSv1
TLSv1.1
TLSv1.2
单击 Save(连接)。
(可选) 指定要排除的 TLS 密码套件。
从与 Ops Manager 应用程序的 TLS 连接中排除特定的 TLS 密码套件。
单击 Ops Manager 应用程序中的 Admin 查看
Admin
界面。单击 General 标签页
单击 Ops Manager Config(连接)。
单击 Custom(连接)。
在 Key 框中输入
mms.disableCiphers
。在 Value 框中输入以逗号分隔的要禁用的密码套件列表。
重要
MongoDB Ops Manager中使用的密码套件名称必须遵循 RFC5246 命名规则。请勿使用 OpenSSL 命名规则。
示例,使用
TLS_RSA_WITH_NULL_SHA256
,而不是NULL-SHA256
。单击 Save(连接)。
重新启动每个Ops Manager托管以启用 TLS 。
按照启动和停止 Ops Manager 应用程序的说明,重启 Ops Manager 应用程序。
配置MongoDB助手以使用 TLS
在集群中的每个 MongoDB 主机上,请执行以下操作:
更改mmsBaseUrl
和 TLS 设置。
根据需要设置或添加以下属性:
选项 | 必要性 | 操作 |
---|---|---|
必需 | 设置该值以匹配您在 URL to Access Ops Manager 框中输入的 URL。 重要提示:请确保同时更新此属性和URL to Access Ops Manager框。 两个值必须匹配。 如果为MongoDB Agent启用了监控和备份,则它们使用MongoDB Ops Manager服务器上配置的URL to Access Ops
Manager ,除非为MongoDB Agent设立了 | |
可选的 | 如果满足以下所有条件,请将该值设置为
如果将该值设置为 | |
可选的 | 如果您使用自己的自签名证书颁发机构 重要提示:此证书颁发机构文件必须位于同一分片分片集群或副本集的每个MongoDB托管上的同一位置。 任何MongoDB托管如果没有与其他主机位于同一文件位置,则可能文件访问。 如果您执行以下操作,请将
要学习;了解如何从其他站点下载TLS 证书,请参阅 OpenSSL Cookbook 条目。 | |
可选的 | 如果您在 Ops Manager 中将 Client Certificate Mode 设置为 Required for Agents Only 或 Required for All
Requests ,请添加此值,并以 .pem 格式指定包含客户端私钥、证书和可选中间证书的文件的绝对路径。 | |
可选的 | 如果您已加密 tlsMMSServerClientCertificate .pem 文件,请提供解密该文件所需的密码。 |