默认情况下,vRealize Log Insight 会在虚拟设备上安装自签名 SSL 证书。

当您连接到 vRealize Log Insight Web 用户界面时,自签名证书将生成安全警告。如果您不想使用自签名安全证书,可以安装自定义 SSL 证书。唯一需要自定义 SSL 证书的功能是通过 SSL 转发日志。如果您的集群设置已启用 ILB,请参见激活集成负载均衡器了解自定义 SSL 证书的特殊要求。

注: vRealize Log InsightWeb 用户界面和 Log Insight Ingestion 协议 cfapi 使用相同的证书进行身份验证。

前提条件

  • 验证您的自定义 SSL 证书是否符合以下要求。
    • CommonName 包含主节点的通配符或精确匹配或者虚拟 IP 地址的 FQDN。(可选)所有其他 IP 地址和 FQDN 均列为 subjectAltName。
    • 证书文件包含有效的私钥和证书链。
    • 私钥是通过 RSA 或 DSA 算法生成的。
    • 私钥未使用口令加密。
    • 如果该证书由一系列其他证书签名,则在要导入的证书文件中包括所有其他证书。
    • 证书文件中包括的私钥和所有证书都采用 PEM 编码。vRealize Log Insight 不支持采用 DER 编码的证书和私钥。
    • 证书文件中包括的私钥和所有证书都采用 PEM 格式。vRealize Log Insight 不支持采用 PFX、PKCS12、PKCS7 或其他格式的证书。
  • 确认您将每个证书的整个正文按以下顺序连接到单个文本文件。
    1. 私钥 - your_domain_name.key
    2. 主要证书 - your_domain_name.crt
    3. 中间证书 - DigiCertCA.crt
    4. 根证书 - TrustedRoot.crt
  • 确认您按以下格式包含每个证书的开头和结尾标记。
    -----BEGIN PRIVATE KEY----- 
    (Your Private Key: your_domain_name.key) 
    -----END PRIVATE KEY----- 
    -----BEGIN CERTIFICATE----- 
    (Your Primary SSL certificate: your_domain_name.crt) 
    -----END CERTIFICATE----- 
    -----BEGIN CERTIFICATE----- 
    (Your Intermediate certificate: DigiCertCA.crt) 
    -----END CERTIFICATE----- 
    -----BEGIN CERTIFICATE----- 
    (Your Root certificate: TrustedRoot.crt) 
    -----END CERTIFICATE-----
  • 确认您已经以超级管理员用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 vRealize Log Insight Web 用户界面。有关详细信息,请参见创建和修改角色。该 Web 用户界面的 URL 格式为 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虚拟设备的 IP 地址或主机名。