Sie können die Konfigurationsdatei des VMware Aria Operations for Logs-Agenten bearbeiten, um die SSL-Konfiguration zu ändern, den vertrauenswürdigen Rootzertifikaten einen Pfad hinzuzufügen und festzulegen, ob Zertifikate vom Agenten akzeptiert werden.

Dieses Verfahren gilt für die VMware Aria Operations for Logs-Agenten für Windows und Linux.

Voraussetzungen

Für den Linux-Agenten von VMware Aria Operations for Logs:
  • Melden Sie sich als Root-Benutzer an oder verwenden Sie sudo, um Konsolenbefehle auszuführen.
  • Melden Sie sich bei dem Linux-System an, auf dem Sie den VMware Aria Operations for Logs-Linux-Agenten installiert haben. Öffnen Sie eine Konsole und führen Sie pgrep liagent aus, um sicherzustellen, dass der VMware Aria Operations for Logs-Linux-Agent installiert ist und ausgeführt wird.
Für den Windows-Agenten von VMware Aria Operations for Logs:

  • Melden Sie sich bei dem Windows-Computer an, auf dem Sie den VMware Aria Operations for Logs Windows-Agent installiert haben, und starten Sie den Dienst-Manager, um zu überprüfen, ob der VMware Aria Operations for Logs-Agent-Dienst installiert ist.

Prozedur

  1. Navigieren Sie zum Ordner mit der Datei liagent.ini.
    Betriebssystem Pfad
    Linux /var/lib/loginsight-agent/
    Windows %ProgramData%\VMware\Log Insight Agent
  2. Öffnen Sie die Datei liagent.ini in einem beliebigen Texteditor.
  3. Fügen Sie dem [server]Abschnitt der Datei liagent.ini die folgenden Schlüssel hinzu.
    Schlüssel Beschreibung
    ssl_ca_path

    Überschreibt den Standardspeicherpfad für von der Stammzertifizierungsstelle signierte Zertifikate, die für die Überprüfung von Verbindungs-Peer-Zertifikaten verwendet werden.

    Wenn Sie einen Pfad für ssl_ca_path angeben, überschreiben Sie die Standardwerte für Linux- und Windows-Agenten. Sie können eine Datei verwenden, in der mehrere Zertifikate im PEM-Format verknüpft sind, oder ein Verzeichnis, das Zertifikate im PEM-Format und Namen im Format hash.0 enthält. (Siehe Option -hash im x509-Dienstprogramm.)

    Linux: Wenn kein Wert angegeben ist, verwendet der Agent den Wert, der der Umgebungsvariablen LI_AGENT_SSL_CA_PATH zugewiesen wurde. Wenn kein Wert angegeben ist, versucht der Agent, vertrauenswürdige Zertifikate von der Datei /etc/pki/tls/certs/ca-bundle.crt oder von der Datei /etc/ssl/certs/ca-certificates.crt zu laden.

    Windows: Wenn kein Wert angegeben ist, verwendet der Agent den Wert, der durch die Umgebungsvariable LI_AGENT_SSL_CA_PATH angegeben ist. Wenn der Wert nicht angegeben wurde, lädt der VMware Aria Operations for Logs-Windows-Agent Zertifikate aus dem Windows-Stammzertifikatspeicher.

    ssl_accept_any Legt fest, ob Zertifikate vom VMware Aria Operations for Logs-Agenten akzeptiert werden. Die möglichen Werte sind yes, 1, no oder 0. Wenn der Wert auf „Ja“ oder 1 festgelegt ist, akzeptiert der Agent jegliche Zertifikate vom Server und richtet eine sichere Verbindung zum Versenden von Daten ein. Der Standardwert lautet „Nein“.
    ssl_accept_any_trusted Die möglichen Werte sind Ja, 1, Nein oder 0. Wenn der VMware Aria Operations for Logs-Agent über ein lokal gespeichertes, von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat verfügt und ein anderes gültiges Zertifikat empfängt, das von einer anderen vertrauenswürdigen Zertifizierungsstelle signiert ist, prüft er die Konfigurationsoption. Ist der Wert auf „Ja“ oder 1 festgelegt, akzeptiert der Agent das neue gültige Zertifikat. Ist der Wert auf „Nein“ oder 0 festgelegt, lehnt er das Zertifikat ab und beendet die Verbindung. Der Standardwert lautet „Nein“.
    ssl_cn Der Common Name des selbstsignierten Zertifikats.

    Der Standardwert lautet VMware vCenter Log Insight. Sie können einen benutzerdefinierten Common Name festlegen, der im Feld Common Name des Zertifikats geprüft werden muss. Der VMware Aria Operations for Logs-Agent vergleicht das Feld Common Name des empfangenen Zertifikats mit dem Hostnamen, der für den Schlüssel hostname im Bereich [server] angegeben wurde. Gibt es keine Übereinstimmung, prüft der Agent das Textfeld Common Name auf den Schlüssel ssl_cn in der Datei liagent.ini. Stimmen die Werte überein, akzeptiert der VMware Aria Operations for Logs-Agent das Zertifikat.

    Hinweis: Diese Schlüssel werden ignoriert, wenn SSL deaktiviert ist.
  4. Speichern und schließen Sie die Datei liagent.ini.

Beispiel: Konfiguration

Es folgt ein Beispiel für die SSL-Konfiguration für die von einer Zertifizierungsstelle signierten Zertifikate. 

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/var/lib/loginsight-agent/cert
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

Im Folgenden finden Sie ein Beispiel für die SSL-Konfiguration zum Akzeptieren aller Arten von Zertifikaten, einschließlich selbstsignierter Zertifikate.

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes