Sie können die Konfigurationsdatei des vRealize Log Insight-Agenten bearbeiten, um die SSL-Konfiguration zu ändern, den vertrauenswürdigen Rootzertifikaten einen Pfad hinzuzufügen und festzulegen, ob Zertifikate vom Agenten akzeptiert werden.

Dieses Verfahren gilt für die vRealize Log Insight-Agenten für Windows und Linux.

Voraussetzungen

Für den Linux-Agenten von vRealize Log Insight:
  • Melden Sie sich als Root-Benutzer an oder verwenden Sie sudo, um Konsolenbefehle auszuführen.
  • Melden Sie sich bei dem Linux-System an, auf dem Sie den vRealize Log Insight-Linux-Agenten installiert haben. Öffnen Sie eine Konsole und führen Sie pgrep liagent aus, um sicherzustellen, dass der vRealize Log Insight-Linux-Agent installiert ist und ausgeführt wird.
Für den Windows-Agenten von vRealize Log Insight:

  • Melden Sie sich bei dem Windows-Computer an, auf dem Sie den vRealize Log Insight Windows-Agent installiert haben, und starten Sie den Dienst-Manager, um zu überprüfen, ob der vRealize Log Insight-Agent-Dienst installiert ist.

Prozedur

  1. Navigieren Sie zum Ordner mit der Datei liagent.ini.
    Betriebssystem Pfad
    Linux /var/lib/loginsight-agent/
    Windows %ProgramData%\VMware\Log Insight Agent
  2. Öffnen Sie die Datei liagent.ini in einem beliebigen Texteditor.
  3. Fügen Sie dem [server]Abschnitt der Datei liagent.ini die folgenden Schlüssel hinzu.
    Schlüssel Beschreibung
    ssl_ca_path

    Überschreibt den Standardspeicherpfad für von der Stammzertifizierungsstelle signierte Zertifikate, die für die Überprüfung von Verbindungs-Peer-Zertifikaten verwendet werden.

    Wenn Sie einen Pfad für ssl_ca_path angeben, überschreiben Sie die Standardwerte für Linux- und Windows-Agenten. Sie können eine Datei verwenden, in der mehrere Zertifikate im PEM-Format verknüpft sind, oder ein Verzeichnis, das Zertifikate im PEM-Format und Namen im Format hash.0 enthält. (Siehe Option -hash im x509-Dienstprogramm.)

    Linux: Wenn kein Wert angegeben ist, verwendet der Agent den Wert, der der Umgebungsvariablen LI_AGENT_SSL_CA_PATH zugewiesen wurde. Wenn kein Wert angegeben ist, versucht der Agent, vertrauenswürdige Zertifikate von der Datei /etc/pki/tls/certs/ca-bundle.crt oder von der Datei /etc/ssl/certs/ca-certificates.crt zu laden.

    Windows: Wenn kein Wert angegeben ist, verwendet der Agent den Wert, der durch die Umgebungsvariable LI_AGENT_SSL_CA_PATH angegeben ist. Wenn der Wert nicht angegeben wurde, lädt der vRealize Log Insight-Windows-Agent Zertifikate aus dem Windows-Stammzertifikatspeicher.

    ssl_accept_any Legt fest, ob Zertifikate vom vRealize Log Insight-Agenten akzeptiert werden. Die möglichen Werte sind yes, 1, no oder 0. Wenn der Wert auf „Ja“ oder 1 festgelegt ist, akzeptiert der Agent jegliche Zertifikate vom Server und richtet eine sichere Verbindung zum Versenden von Daten ein. Der Standardwert lautet „Nein“.
    ssl_accept_any_trusted Die möglichen Werte sind Ja, 1, Nein oder 0. Wenn der vRealize Log Insight-Agent über ein lokal gespeichertes, von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat verfügt und ein anderes gültiges Zertifikat empfängt, das von einer anderen vertrauenswürdigen Zertifizierungsstelle signiert ist, prüft er die Konfigurationsoption. Ist der Wert auf „Ja“ oder 1 festgelegt, akzeptiert der Agent das neue gültige Zertifikat. Ist der Wert auf „Nein“ oder 0 festgelegt, lehnt er das Zertifikat ab und beendet die Verbindung. Der Standardwert lautet „Nein“.
    ssl_cn Der Common Name des selbstsignierten Zertifikats.

    Der Standardwert lautet VMware vCenter Log Insight. Sie können einen benutzerdefinierten Common Name festlegen, der im Feld Common Name des Zertifikats geprüft werden muss. Der vRealize Log Insight-Agent vergleicht das Feld Common Name des empfangenen Zertifikats mit dem Hostnamen, der für den Schlüssel hostname im Bereich [server] angegeben wurde. Gibt es keine Übereinstimmung, prüft der Agent das Textfeld Common Name auf den Schlüssel ssl_cn in der Datei liagent.ini. Stimmen die Werte überein, akzeptiert der vRealize Log Insight-Agent das Zertifikat.

    Hinweis: Diese Schlüssel werden ignoriert, wenn SSL deaktiviert ist.
  4. Speichern und schließen Sie die Datei liagent.ini.

Beispiel: Konfiguration

Es folgt ein Beispiel für die SSL-Konfiguration für die von einer Zertifizierungsstelle signierten Zertifikate. 

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

Im Folgenden finden Sie ein Beispiel für die SSL-Konfiguration zum Akzeptieren aller Arten von Zertifikaten, einschließlich selbstsignierter Zertifikate.

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes