可以编辑 vRealize Log Insight 代理配置文件以更改 SSL 配置,添加可信根证书的路径以及确定该代理是否接受证书。

vRealize Log Insight Windows 和 Linux 代理应用此步骤。

前提条件

对于 vRealize Log Insight Linux 代理:
  • root 用户身份登录,或使用 sudo 运行控制台命令。
  • 登录到已安装 vRealize Log InsightLinux 代理的 Linux 计算机,打开控制台,然后运行 pgrep liagent 以验证 vRealize Log Insight Linux 代理是否已安装且正在运行。
对于 vRealize Log Insight Windows 代理:
  • 登录到已安装 vRealize Log InsightWindows 代理的 Windows 计算机,启动“服务”管理器以验证是否已安装 vRealize Log Insight 代理服务。

过程

  1. 导航到包含 liagent.ini 文件的文件夹。
    操作系统 路径
    Linux /var/lib/loginsight-agent/
    Windows %ProgramData%\VMware\Log Insight Agent
  2. 在任意文本编辑器中打开 liagent.ini 文件。
  3. 将以下键添加到 liagent.ini 文件的 [server] 部分。
    描述
    ssl_ca_path

    覆盖根证书颁发机构签名证书的默认存储路径,这些证书用于验证连接对等证书。

    ssl_ca_path 提供路径时,您会覆盖 Linux 和 Windows 代理的默认值。您可以使用其中连接了多个 PEM 格式的证书的文件,或者其中包含 PEM 格式的证书且证书名称采用 hash.0 形式的目录。(请参见 x509 实用程序的 -hash 选项。)

    Linux:如果未指定任何值,代理将使用分配给 LI_AGENT_SSL_CA_PATH 环境变量的值。如果该值不存在,代理将尝试从 /etc/pki/tls/certs/ca-bundle.crt 文件或 /etc/ssl/certs/ca-certificates.crt 文件中加载受信任证书。

    Windows:如果未指定任何值,代理将使用由 LI_AGENT_SSL_CA_PATH 环境变量指定的值。如果该值不存在,vRealize Log Insight Windows 代理将从 Windows 根证书存储中加载证书。

    ssl_accept_any 定义 vRealize Log Insight 代理是否接受任何证书。可能的值为 yes1 no0。当值设置为 yes 或 1 时,代理将接受来自服务器的任何证书,并建立安全连接以发送数据。默认值为 no。
    ssl_accept_any_trusted 可能的值为 yes、1、no 或 0。如果 vRealize Log Insight 代理已在本地存储由受信任证书颁发机构签名的证书,但仍接收到由其他受信任证书颁发机构签名的其他有效证书。如果值设置为 yes 或 1,则代理将接受新的有效证书。如果值设置为 no 或 0,则将拒绝证书并结束连接。默认值为 no。
    ssl_cn 自签名证书的 Common Name

    默认值为 VMware vCenter Log Insight。您可以将自定义 Common Name 定义为根据证书 Common Name 字段进行检查。vRealize Log Insight 代理会将接收到的证书的 Common Name 字段与为 [server] 部分中的 hostname 键指定的主机名进行比较。如果它们不匹配,代理将根据 liagent.ini 文件中的 ssl_cn 键来检查 Common Name 文本框。如果值匹配,vRealize Log Insight 代理将接受证书。

    注: 如果停用 SSL,则会忽略这些键。
  4. 保存并关闭 liagent.ini 文件。

示例: 配置

以下是 CA 签名证书的 SSL 配置示例。

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

以下是用于接受任何类型证书(包括自签名证书)的 SSL 配置示例。

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes