默认情况下,vRealize Log Insight 会在虚拟设备上安装自签名 SSL 证书。
当您连接到 vRealize Log Insight Web 用户界面时,自签名证书将生成安全警告。如果您不想使用自签名安全证书,可以安装自定义 SSL 证书。唯一需要自定义 SSL 证书的功能是通过 SSL 转发日志。如果您的集群设置已启用 ILB,请参见激活集成负载均衡器了解自定义 SSL 证书的特殊要求。
注:
vRealize Log InsightWeb 用户界面和 Log Insight Ingestion 协议
cfapi
使用相同的证书进行身份验证。
前提条件
- 验证您的自定义 SSL 证书是否符合以下要求。
- CommonName 包含主节点的通配符或精确匹配或者虚拟 IP 地址的 FQDN。(可选)所有其他 IP 地址和 FQDN 均列为 subjectAltName。
- 证书文件包含有效的私钥和证书链。
- 私钥是通过 RSA 或 DSA 算法生成的。
- 私钥未使用口令加密。
- 如果该证书由一系列其他证书签名,则在要导入的证书文件中包括所有其他证书。
- 证书文件中包括的私钥和所有证书都采用 PEM 编码。vRealize Log Insight 不支持采用 DER 编码的证书和私钥。
- 证书文件中包括的私钥和所有证书都采用 PEM 格式。vRealize Log Insight 不支持采用 PFX、PKCS12、PKCS7 或其他格式的证书。
- 确认您将每个证书的整个正文按以下顺序连接到单个文本文件。
- 私钥 - your_domain_name.key
- 主要证书 - your_domain_name.crt
- 中间证书 - DigiCertCA.crt
- 根证书 - TrustedRoot.crt
- 确认您按以下格式包含每个证书的开头和结尾标记。
-----BEGIN PRIVATE KEY----- (Your Private Key: your_domain_name.key) -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE-----
- 确认您已经以超级管理员用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 vRealize Log Insight Web 用户界面。有关详细信息,请参见创建和修改角色。该 Web 用户界面的 URL 格式为 https://log-insight-host,其中 log-insight-host 是 vRealize Log Insight 虚拟设备的 IP 地址或主机名。