Comprender las principales funciones SSL puede ayudarlo a configurar Log Insight Agents correctamente.

El agente de vRealize Log Insight almacena certificados y los usa para verificar la identidad del servidor durante todas las conexiones con un servidor determinado excepto la primera. Si la identidad del servidor no puede confirmarse, el agente de vRealize Log Insight rechaza la conexión con el servidor y escribe un mensaje de error adecuado en el registro. Los certificados recibidos por el agente se almacenan en la carpeta cert.
  • Para Windows, vaya a C:\ProgramData\VMware\Log Insight Agent\cert.
  • Para Linux, vaya a /var/lib/loginsight-agent/cert.
Cuando el agente de vRealize Log Insight establece una conexión segura con el servidor de vRealize Log Insight, el agente comprueba la validez del certificado recibido del servidor vRealize Log Insight. El agente de vRealize Log Insight usa certificados raíz de confianza del sistema.
  • El Log Insight Linux Agent carga certificados de confianza de /etc/pki/tls/certs/ca-bundle.crt o de /etc/ssl/certs/ca-certificates.crt.
  • El Log Insight Windows Agent usa certificados raíz del sistema.

Si el agente de vRealize Log Insight tiene un certificado autofirmado almacenado localmente y recibe un certificado autofirmado válido diferente con la misma clave pública, el agente acepta el nuevo certificado. Esto puede suceder cuando se vuelve a generar un certificado autofirmado usando la misma clave privada, pero con detalles diferentes como una nueva fecha de vencimiento. De lo contrario, se rechaza la conexión.

Si el agente de vRealize Log Insight tiene un certificado autofirmado almacenado localmente y recibe un certificado firmado por una CA válido, el agente de vRealize Log Insight reemplaza de manera silenciosa el nuevo certificado aceptado.

Si el agente de vRealize Log Insight recibe el certificado autofirmado después de tener un certificado firmado por una CA, el agente de Log Insight lo rechaza. El agente de vRealize Log Insight acepta el certificado autofirmado recibido del servidor de vRealize Log Insight solo cuando se conecta al servidor por primera vez.

Si el agente de vRealize Log Insight tiene un certificado firmado por CA almacenado localmente y recibe un certificado válido firmado por otra CA de confianza, el agente lo rechaza. Puede modificar las opciones de configuración del agente de vRealize Log Insight para que acepte el nuevo certificado. Consulte Configurar los parámetros SSL del agente de vRealize Log Insight.

Los agentes de vRealize Log Insight se comunican a través de TLSv.1.2. Se deshabilita SSLv.3/TLSv.1.0 para cumplir los criterios de seguridad.