Das Verstehen der wesentlichen SSL-Funktionen kann Ihnen bei der ordnungsgemäßen Konfiguration von Log Insight Agents helfen.

Der vRealize Log Insight-Agent speichert Zertifikate und nutzt diese dann zur Verifizierung der Serveridentität bei allen Verbindungen mit einem bestimmten Server mit Ausnahme der allerersten Verbindung. Wenn sich die Serveridentität nicht bestätigen lässt, weist der vRealize Log Insight-Agent die Verbindung mit dem Server ab und vermerkt eine entsprechende Fehlermeldung im Protokoll. Die vom Agent empfangenen Zertifikate werden im Ordner cert gespeichert.
  • Navigieren Sie unter Windows zu C:\ProgramData\VMware\Log Insight Agent\cert.
  • Navigieren Sie unter Linux zu /var/lib/loginsight-agent/cert.
Wenn der vRealize Log Insight-Agent eine sichere Verbindung mit dem vRealize Log Insight-Server hergestellt hat, prüft der Agent das vom vRealize Log Insight-Server erhaltene Zertifikat auf seine Gültigkeit. Der vRealize Log Insight-Agent nutzt Stammzertifikate, denen das System vertraut.
  • Der Log Insight Linux Agent lädt die vertrauenswürdigen Zertifikate von /etc/pki/tls/certs/ca-bundle.crt oder /etc/ssl/certs/ca-certificates.crt.
  • Der Log Insight Windows Agent nutzt System-Stammzertifikate.

Wenn der vRealize Log Insight-Agent über ein lokal gespeichertes, selbstsigniertes Zertifikat verfügt und ein anderes gültiges, selbstsigniertes Zertifikat mit demselben öffentlichen Schlüssel empfängt, akzeptiert der Agent das neue Zertifikat. Dies kann bei der Neuerstellung eines selbstsignierten Zertifikats unter Verwendung desselben privaten Schlüssels, jedoch mit anderen Details, wie einem neuen Ablaufdatum, geschehen. Ansonsten wird die Verbindung abgewiesen.

Wenn der vRealize Log Insight-Agent über ein lokal gespeichertes, selbstsigniertes Zertifikat verfügt und ein gültiges, von einer Zertifizierungsbehörde (CA) signiertes Zertifikat empfängt, ersetzt der vRealize Log Insight-Agent stillschweigend das neue akzeptierte Zertifikat.

Wenn der vRealize Log Insight-Agent das selbstsignierte Zertifikat empfängt, nachdem er ein von einer Zertifizierungsbehörde (CA) signiertes Zertifikat erhalten hat, wird es vom Log Insight Agent zurückgewiesen. Der vRealize Log Insight-Agent akzeptiert das selbstsignierte, vom vRealize Log Insight-Server empfangene Zertifikat nur bei der ersten Verbindung mit dem Server.

Wenn der vRealize Log Insight-Agent über ein lokal gespeichertes, von einer Zertifizierungsbehörde (CA) signiertes Zertifikat verfügt und ein gültiges, von einer anderen vertrauenswürdigen Zertifizierungsbehörde (CA) signiertes Zertifikat erhält, wird dieses vom Agent zurückgewiesen. Sie können die Konfigurationsoptionen des vRealize Log Insight-Agents so modifizieren, dass dieser das neue Zertifikat annimmt. Weitere Informationen hierzu finden Sie unter Konfigurieren der SSL-Parameter für vRealize Log Insight-Agenten.

vRealize Log Insight-Agenten kommunizieren über TLSv.1.2. SSLv.3/TLSv.1.0 ist zur Erfüllung von Sicherheitsrichtlinien deaktiviert.