Docs Menu
Docs Home
/ /
セキュリティ
Docs Home
/
管理
/
Ops Manager
/
セキュリティ
Docs Home
/
管理
/
Ops Manager
/
セキュリティ

MongoDB Ops Managerへの TLS 接続の構成

MongoDB Ops Managerを構成して、すべてのMongoDBエージェントからMongoDB Ops Managerへ、ウェブサイトクライアントからMongoDB Ops Managerアプリケーションへ、および APIクライアントからREST APIへの接続を暗号化できます。

接続を暗号化するには、次の方法があります。

  • MongoDB Ops Manager の前にHTTPSプロキシを設定する 、または

  • このページに記載されているように、 MongoDB Ops ManagerHTTPS 経由 で アプリケーションを実行します。

MongoDB Ops Manager.pem次の手順では、MongoDB Ops Manager ホストの TLS 証明書を含む {0 ファイルを使用して を構成します。

MongoDB Agent は、手順が正常に完了した後、 HTTPSを使用します。

Tip

.pemファイルの詳細については、MongoDB マニュアルの .pem ファイルのセクションをお読みください。

前提条件

  • に更新するか、MongoDB Agent をインストールします。

  • TLS関連のカスタム設定を MongoDB Agent 構成に追加します。

TLS 用のMongoDB OpsMongoDB Ops Manager Managerアプリケーションの構成

1

証明書ファイルを各 MongoDB Ops Manager ホストにアップロードします

  1. .pemファイルを各 Ops Manager アプリケーション ホストにアップロードします。この証明書は、TLS 接続を受け入れることができるように、各 MongoDB Ops Manager ホストにアップロードする必要があります

  2. MongoDB Ops Manager プロセスを所有するユーザーとグループに .pemファイルの所有者を変更します。

  3. .pemファイルの権限を変更して、ファイル所有者のみがファイルを読み書きできるようにします

2

Ops Manager アプリケーションの TLS の有効化

  1. MongoDB Ops Managerアプリケーションで Admin をクリックすると、Admin インターフェースが表示されます

  2. [General] タブをクリックします

  3. クリック Ops Manager Config

  4. クリック Web Server & Email

  5. Web Server見出しで次のオプションを設定します。

    オプション
    アクション

    URL to Access Ops Manager

    HTTPS アクセス用のポート を含む MongoDB Ops Manager アプリケーションの完全な URL8443 を指定します。

    以下に例を挙げます。

    https://opsmanager.example.com:8443

    HTTPS PEM Key File

    このボックスに、すべてのMongoDB Ops Managerホストにある .pem ファイルが配置されているファイル システムの絶対パスを入力します。

    HTTPS PEM Key File Password

    HTTPS PEMキー ファイルを暗号化した場合は、このボックスに復号化に必要なパスワードを入力します。

    Client Certificate Mode

    TLS 対応の に接続するときにクライアント アプリケーションまたはMongoDB エージェントが TLS 証明書を提示する必要がある場合は、MongoDB Ops Manager を選択します。MongoDB Ops Manager は、接続時にこれらのクライアント ホストからの証明書を確認します。 クライアントTLS証明書を要求する場合は、有効であることを確認します。

    指定できる値は次のとおりです。

    • None

    • Required for Agents Only

    • Required for All Requests

  6. クリック Save

3

(任意)TLS の最小バージョンを変更する

MongoDB Ops Manager Server 4.4.13以降では、 MongoDB Ops ManagerアプリケーションはクライアントがデフォルトでTLSバージョン 1.2 を使用する必要があります。

TLSの最小バージョンを変更するには、以下の手順を行います。

  1. MongoDB Ops Managerアプリケーションで Admin をクリックすると、Admin インターフェースが表示されます

  2. [General] タブをクリックします

  3. クリック Ops Manager Config

  4. クリック Custom

  5. TLS の最小バージョンを設定する

  6. mms.minimumTLSVersionKeyボックスに と入力

  7. ボックスに最小 TLS バージョンを入力しますValue

    次の値が受け入れられます。

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. クリック Save

4

(任意)除外する TLS 暗号スイートを指定します

アプリケーションとの TLS 接続から特定の TLS 暗号スイートを除外するには、MongoDB Ops Manager

  1. MongoDB Ops Managerアプリケーションで Admin をクリックすると、Admin インターフェースが表示されます

  2. [General] タブをクリックします

  3. クリック Ops Manager Config

  4. クリック Custom

  5. mms.disableCiphersKeyボックスに と入力

  6. Value ボックスに無効にする暗号スイートのカンマ区切りリストを入力します

    重要

    MongoDB Ops Managerで使用される暗号スイート名は、RFC 5246 の命名規則に従う必要があります。OpenSSL の命名規則は使用しないでください。

    例では、 NULL-SHA256 TLS_RSA_WITH_NULL_SHA256が使用されます。

  7. クリック Save

5

各 MongoDB Ops Manager ホストを再起動して TLS を有効にします

「 MongoDB Ops ManagerMongoDB Ops Manager アプリケーションの 起動と停止 の手順に従って、 アプリケーションを再起動します。MongoDB Ops Manager

TLS を使用するようにMongoDBエージェントを構成する

クラスター内の各 MongoDB ホストで、次の操作を行います。

1

希望するテキストエディタでMongoDB Agent の構成ファイルを開きます

MongoDB Agent 構成ファイルの場所は、プラットフォームによって異なります。

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

mmsBaseUrl TLS の設定を変更する

必要に応じて、次のプロパティを設定または追加します。

オプション
必要性
アクション

mmsbaseurl

必須

この値を、 URL to Access Ops Managerボックスに入力したURLと一致するように設定します。

重要:このプロパティとURL to Access Ops Managerボックスの両方を更新することを確認してください。 いずれの値も一致する必要があります。 MongoDB AgentURL to Access Ops ManagerMongoDB Ops ManagerMongoDBmmsBaseURL MongoDB AgentAgent でモニタリングとバックアップが有効になっている場合は、 に カスタム モニタリング設定が設定されていない限り、 サーバーで構成された が使用されます。詳しくは、「 MongoDB Agent 監視設定 」を参照してください。

tlsRequireValidMMSServerCertificates

条件付き

次のすべてに当てはまる場合は、この値をtrueに設定します。

  • エージェントが MongoDB Ops Manager のTLS証明書を検証するようにします。

  • 既知の外部認証局または自己署名認証局を使用して、MongoDB Ops Manager ホストのTLS証明書に署名した。

この値をtrueに設定する場合は、 httpsCAFileを設定する必要があります。

httpsCAFile

条件付き

独自の自己署名認証局.pemファイルを使用している場合は、このプロパティを追加し、MongoDB ホスト上の認証局ファイルへの絶対パスに設定します。

重要:この認証局ファイルは、同じ シャーディングされたシャーディングされたクラスターまたはレプリカセット内の各MongoDBホストの同じ場所にある必要があります。 他のホストと同じファイルロケーションにファイルがないMongoDBホストは、アクセスできなくなる可能性があります。

次の場合は、 downloads.mongodb.com証明書の証明機関をこの.pemファイルに追加します。

  1. MongoDBをダウンロードするにはMongoDBエージェントが必要
    インターネットからのインストーラー、

  2. TLS を使用して接続を暗号化する

  3. プライベート CA で証明書に署名しました。 ( httpsCAFileオプションを設定します)

別のウェブ サイトから TLS 証明書をダウンロードする方法については、 OpenSSL Atlas Charts のエントリ を参照してください。

tlsMMSServerClientCertificate

条件付き

MongoDB Ops Managerで Client Certificate ModeRequired for Agents Only または Required for All Requests に設定している場合は、この値を追加し、クライアントの秘密キー、証明書、オプションの中間証明書を含むファイルへの絶対パスを .pem 形式 で指定します。

tlsMMSServerClientCertificatePassword

条件付き

tlsMMSServerClientCertificate .pemファイルを暗号化した場合は、復号に必要なパスワードを入力します。

3

クリック Save

4

MongoDB Agent を再起動する

レプリカセットの TLS の無効化

Ops Manager を使用してレプリカセットの TLS を無効にするには、次の手順を実行します。

1

プロジェクト設定にアクセス

Ops Manager でレプリカセットのプロジェクト設定に移動します。

2

セキュリティ設定にGo

[ セキュリティ ]タブにGo、[ 設定 ] を選択します。

3

TLS を無効にする

MongoDB配置のトランスポート層セキュリティ( TLS )のスライダーをオフに切り替えます。

重要

CA ファイルまたは証明書に関連するパスをすべて削除するか、空白のままにします。

4

レビューと配置

変更内容を確認するには、[ Review & Deploy(レビューと配置) ] をクリックします。

変更を確認するには、[Confirm & Deploy(確認と配置)] をクリックします。

5

変更を監視

配置した後、レプリカセットをモニターして、接続が TLS なしで期待どおりに機能していることを確認します。

戻る

ユーザー認証情報の暗号化

次へ

アプリケーション データベースを保護する

項目一覧