Log Insight Agents拒绝自签名证书。

问题

vRealize Log Insight 代理拒绝自签名证书,无法与服务器建立连接。

注: 如果在使用代理时遇到连接问题,可以通过将代理的调试级别更改为 1 来生成详细日志以供查看。有关详细信息,请参见 在 Log Insight Agents中定义日志详细信息级别

原因

在代理日志中显示的消息具有特定原因。

消息 原因
拒绝对等自签名证书。公共密钥与以前存储的证书密钥不匹配。
  • vRealize Log Insight 证书被替换时,可能会发生这种情况。
  • 如果启用 HA 的群集环境在 vRealize Log Insight 节点上配置了不同的自签名证书,可能会发生这种情况。
拒绝对等自签名证书。以前已接收由可信 CA 签名的证书。 代理端存储有 CA 签名证书。

解决方案

  • 确认目标主机名是可信的 vRealize Log Insight 实例,然后从 vRealize Log Insight 代理的 cert 目录中手动删除以前的证书。
    • 对于 Log Insight Windows Agent,请转至 C:\ProgramData\VMware\Log Insight Agent\cert
    • 对于 Log Insight Linux Agent,请转至 /var/lib/loginsight-agent/cert
    注: 有些平台可能会使用非标准路径来存储可信证书。 Log Insight Agents提供了一个选项,可以通过设置 ssl_ca_path=<fullpath> 配置参数来配置可信证书存储路径。使用可信根证书包文件的路径替换 <fullpath>。请参见 配置 Log Insight 代理的 SSL 参数