了解主要 SSL 功能可以帮助您正确配置 Log Insight Agents。
vRealize Log Insight 代理会存储证书,并在每次连接到特定服务器时使用这些证书验证服务器身份(首次连接除外)。如果无法确认服务器身份,
vRealize Log Insight 代理会拒绝与服务器连接,并将相应错误消息写入日志。代理收到的证书存储在
cert 文件夹中。
- 对于 Windows,请转至 C:\ProgramData\VMware\Log Insight Agent\cert。
- 对于 Linux,请转至 /var/lib/loginsight-agent/cert。
当
vRealize Log Insight 代理与
vRealize Log Insight 服务器建立安全连接时,代理会检查从
vRealize Log Insight 服务器接收的证书的有效性。
vRealize Log Insight 代理使用系统信任的根证书。
- Log Insight Linux Agent从 /etc/pki/tls/certs/ca-bundle.crt 或 /etc/ssl/certs/ca-certificates.crt 加载信任的证书。
- Log Insight Windows Agent使用系统根证书。
如果 vRealize Log Insight 代理已在本地存储自签名证书,但仍接收到带有相同公共密钥的其他有效自签名证书,则代理会接受新证书。如果重新生成的自签名证书使用相同的私钥,但具有不同的详细信息(如新的到期日期),则可以成功连接。否则,会拒绝连接。
如果 vRealize Log Insight 代理已在本地存储自签名证书,但仍接收到有效的 CA 签名证书,则 vRealize Log Insight 代理会无声替换新接受的证书。
如果 vRealize Log Insight 代理在拥有 CA 签名证书后接收到自签名证书,则 Log Insight 代理会拒绝接收。仅在首次连接 vRealize Log Insight 服务器时,vRealize Log Insight 代理才会接受来自该服务器的自签名证书。
如果 vRealize Log Insight 代理已在本地存储 CA 签名证书,但仍接收到由其他信任 CA 签名的有效证书,则代理会拒绝接收。您可以修改 vRealize Log Insight 代理的配置选项以接受新证书。请参见配置 vRealize Log Insight 代理的 SSL 参数。
vRealize Log Insight 代理通过 TLSv.1.2 进行通信。为了符合安全准则,已停用 SSLv.3/TLSv.1.0。