Configurar los parámetros SSL del agente de vRealize Log Insight

Puede editar el archivo de configuración del agente de vRealize Log Insight para cambiar la configuración SSL, añadir una ruta de acceso a los certificados raíz de confianza e indicar si el agente acepta los certificados.

Este procedimiento se aplica a los agentes de vRealize Log Insight de Windows y Linux.

Requisitos previos

Para el agente de Linux de vRealize Log Insight:

Inicie sesión como raíz o use sudo para ejecutar comandos de la consola.
Inicie sesión en la máquina de Linux en la que instaló el agente de Linux de vRealize Log Insight, abra una consola y ejecute pgrep liagent para verificar que el agente de Linux de vRealize Log Insight esté instalado y ejecutándose.

Para el agente de Windows de vRealize Log Insight:

Inicie sesión en el equipo Windows donde instaló el agente de Windows de vRealize Log Insight e inicie el administrador de servicios para verificar que el servicio del agente de vRealize Log Insight esté instalado.

Procedimiento

Desplácese hasta la carpeta que incluye el archivo liagent.ini.

Sistema operativo	Ruta de acceso
Linux	/var/lib/loginsight-agent/
Windows	%ProgramData%\VMware\Log Insight Agent

Abra el archivo liagent.ini en cualquier editor de texto.

Añada las siguientes claves a la sección [server] del archivo liagent.ini.


Clave	Descripción
ssl_ca_path	Anula la ruta de almacenamiento predeterminada para los certificados raíz firmados por una entidad de certificación, que se usan para verificar los certificados del mismo nivel de conexión. Cuando se proporciona una ruta de acceso para ssl_ca_path, se reemplazan los valores predeterminados para los agentes de Linux y Windows. Puede utilizar un archivo donde se concatenen varios certificados en formato PEM o un directorio que contenga certificados que tengan el formato PEM y sus nombres con la forma hash.0. (Consulte la opción -hash de la utilidad x509). Linux: si no se especifica ningún valor, el agente usará el valor asignado a la variable de entorno LI_AGENT_SSL_CA_PATH. Si el valor no está presente, el agente intenta cargar certificados de confianza del archivo /etc/pki/tls/certs/ca-bundle.crt o del archivo /etc/ssl/certs/ca-certificates.crt. Windows: si no se especifica ningún valor, el agente usará el valor especificado por la variable de entorno LI_AGENT_SSL_CA_PATH. Si el valor no está presente, el agente de Windows de vRealize Log Insight carga certificados del almacén de certificados raíz de Windows.
ssl_accept_any	Define si el agente de vRealize Log Insight acepta certificados. Los valores posibles son `yes`, `1`, `no` o `0`. Cuando el valor se establece en sí o 1, el agente acepta certificados del servidor y establece una conexión segura para enviar datos. El valor predeterminado es no.
ssl_accept_any_trusted	Los valores posibles son sí, 1, no o 0. Si el agente de vRealize Log Insight tiene un certificado firmado por una entidad de certificación de confianza almacenado localmente y recibe un certificado válido firmado por una entidad de certificación de confianza diferente, marca la opción de configuración. Si el valor se establece en sí o 1, el agente acepta el nuevo certificado válido. Si el valor se establece en no o 0, rechaza el certificado y finaliza la conexión. El valor predeterminado es no.
ssl_cn	El campo `Common Name` del certificado autofirmado. El valor predeterminado es `VMware vCenter Log Insight`. Puede definir un `Common Name` personalizado para comprobar en función del campo `Common Name` del certificado. El agente de vRealize Log Insight compara el campo `Common Name` del certificado recibido con el nombre de host especificado para la clave `hostname` en la sección `[server]`. Si no coinciden, el agente compara el cuadro de texto `Common Name` con la clave ssl_cn en el archivo liagent.ini. Si los valores coinciden, el agente de vRealize Log Insight acepta el certificado.

Nota: Estas claves se ignoran si SSL está desactivado.

Guarde y cierre el archivo liagent.ini.

Ejemplo: Configuración

A continuación se incluye un ejemplo de la configuración SSL para los certificados firmados por una CA.

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

A continuación se incluye un ejemplo de la configuración SSL para aceptar cualquier tipo de certificados, incluidos los autofirmados.

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes