Les agentsVMware Aria Operations for Logs Agents rejettent un certificat auto-signé.

Problème

Un agent VMware Aria Operations for Logs rejette le certificat auto-signé et ne peut pas établir une connexion avec le serveur.

Note : Si vous rencontrez des problèmes de connexion avec l'agent, vous pouvez générer des journaux détaillés et faire une vérification en définissant le niveau de débogage pour l'agent sur 1. Pour plus d'informations, consultez Définir le niveau de détail des journaux dans le VMware Aria Operations for Logs Agents.

Cause

Les messages affichés dans le journal de l'agent ont des causes spécifiques.

Message Cause
Rejet d'un certificat auto-signé par un pair. La clé publique ne correspond pas à la clé du certificat enregistrée précédemment.
  • Cela peut se produire lorsque le certificat VMware Aria Operations for Logs est remplacé.
  • Cela peut se produire si la haute disponibilité (HA) activée dans l'environnement de cluster est configurée avec des certificats auto-signés différents sur les nœuds VMware Aria Operations for Logs.
Rejet d'un certificat auto-signé par un pair. Vous devez disposer d'un certificat reçu précédemment, signé par une autorité de certification de confiance. Un certificat signé par une autorité de certification de confiance est enregistré côté agent.

Solution

  • Vérifiez que votre nom d'hôte cible est une instance approuvée de VMware Aria Operations for Logs puis supprimez manuellement le certificat précédent du répertoire VMware Aria Operations for Logs Agent cert.
    • Pour VMware Aria Operations for Logs Windows Agent, accédez à C:\ProgramData\VMware\Log Insight Agent\cert.
    • Pour VMware Aria Operations for Logs Linux Agent, accédez à /var/lib/loginsight-agent/cert.
    Note : Certaines plates-formes peuvent utiliser des chemins d'accès non standard pour l'enregistrement des certificats approuvés. VMware Aria Operations for Logs Agents dispose d'une option pour configurer le chemin d'accès vers le magasin des certificats approuvés en configurant le paramètre de configuration ssl_ca_path=<fullpath>. Remplacez <fullpath> par le chemin d'accès vers le fichier groupé des certificats racines approuvés. Reportez-vous à la section Configurer les paramètres SSL.