Das Verstehen der wesentlichen SSL-Funktionen kann Ihnen bei der ordnungsgemäßen Konfiguration von VMware Aria Operations for Logs Agents helfen.

Der VMware Aria Operations for Logs-Agent speichert Zertifikate und nutzt diese dann zur Verifizierung der Serveridentität bei allen Verbindungen mit einem bestimmten Server mit Ausnahme der allerersten Verbindung. Wenn sich die Serveridentität nicht bestätigen lässt, weist der VMware Aria Operations for Logs-Agent die Verbindung mit dem Server ab und vermerkt eine entsprechende Fehlermeldung im Protokoll. Die vom Agent empfangenen Zertifikate werden im Ordner cert gespeichert.
  • Navigieren Sie unter Windows zu C:\ProgramData\VMware\Log Insight Agent\cert.
  • Navigieren Sie unter Linux zu /var/lib/loginsight-agent/cert.
Wenn der VMware Aria Operations for Logs-Agent eine sichere Verbindung mit dem VMware Aria Operations for Logs-Server hergestellt hat, prüft der Agent das vom VMware Aria Operations for Logs-Server erhaltene Zertifikat auf seine Gültigkeit. Der VMware Aria Operations for Logs-Agent nutzt Stammzertifikate, denen das System vertraut.
  • Der VMware Aria Operations for Logs Linux Agent lädt die vertrauenswürdigen Zertifikate von /etc/pki/tls/certs/ca-bundle.crt oder /etc/ssl/certs/ca-certificates.crt.
  • Der VMware Aria Operations for Logs Windows Agent nutzt System-Stammzertifikate.

Wenn der VMware Aria Operations for Logs-Agent über ein lokal gespeichertes, selbstsigniertes Zertifikat verfügt und ein anderes gültiges, selbstsigniertes Zertifikat mit demselben öffentlichen Schlüssel empfängt, akzeptiert der Agent das neue Zertifikat. Dies kann bei der Neuerstellung eines selbstsignierten Zertifikats unter Verwendung desselben privaten Schlüssels, jedoch mit anderen Details, wie einem neuen Ablaufdatum, geschehen. Ansonsten wird die Verbindung abgewiesen.

Wenn der VMware Aria Operations for Logs-Agent über ein lokal gespeichertes, selbstsigniertes Zertifikat verfügt und ein gültiges, von einer Zertifizierungsbehörde (CA) signiertes Zertifikat empfängt, ersetzt der VMware Aria Operations for Logs-Agent stillschweigend das neue akzeptierte Zertifikat.

Wenn der VMware Aria Operations for Logs Agent das selbstsignierte Zertifikat empfängt, nachdem er ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat erhalten hat, wird es vom VMware Aria Operations for Logs Agent zurückgewiesen. Der VMware Aria Operations for Logs-Agent akzeptiert das selbstsignierte, vom VMware Aria Operations for Logs-Server empfangene Zertifikat nur bei der ersten Verbindung mit dem Server.

Wenn der VMware Aria Operations for Logs-Agent über ein lokal gespeichertes, von einer Zertifizierungsbehörde (CA) signiertes Zertifikat verfügt und ein gültiges, von einer anderen vertrauenswürdigen Zertifizierungsbehörde (CA) signiertes Zertifikat erhält, wird dieses vom Agent zurückgewiesen. Sie können die Konfigurationsoptionen des VMware Aria Operations for Logs-Agents so modifizieren, dass dieser das neue Zertifikat annimmt. Weitere Informationen hierzu finden Sie unter Konfigurieren der SSL-Parameter für VMware Aria Operations for Logs-Agenten.

VMware Aria Operations for Logs-Agents kommunizieren über TLSv.1.2. SSLv.3/TLSv.1.0 ist zur Erfüllung von Sicherheitsrichtlinien deaktiviert.