Configurer les paramètres SSL de l'agent vRealize Log Insight

Vous pouvez modifier les fichiers de configuration de l'agent vRealize Log Insight afin de modifier la configuration SSL, d'ajouter un chemin d'accès aux certificats racines approuvés et de décider si l'agent accepte les certificats.

Cette procédure s'applique aux agents vRealize Log Insight pour Windows et Linux.

Conditions préalables

Pour l'agent vRealize Log Insight Linux :

Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console.
Connectez-vous à la machine Linux sur laquelle vous avez installé l'agent vRealize Log Insight Linux, ouvrez une console et exécutez pgrep liagent pour vérifier que l'agent vRealize Log Insight Linux est installé et fonctionne.

Pour l'agent vRealize Log Insight Windows :

Connectez-vous à la machine Windows sur laquelle vous avez installé vRealize Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service vRealize Log Insight Agent est installé.

Procédure

Accédez au dossier contenant le fichier liagent.ini.

Système d'exploitation	Chemin
Linux	/var/lib/loginsight-agent/
Windows	%ProgramData%\VMware\Log Insight Agent

Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque.

Ajoutez les clés suivantes à la section [server]du fichier liagent.ini.


Clé	Description
ssl_ca_path	Remplace le chemin de stockage par défaut des certificats signés par une autorité de certification racine, qui sont utilisés pour vérifier les certificats d'homologue de connexion. Lorsque vous fournissez un chemin d'accès pour ssl_ca_path, vous remplacez les valeurs par défaut des agents Linux et Windows. Vous pouvez utiliser un fichier dans lequel plusieurs certificats au format PEM sont concaténés ou un répertoire qui contient des certificats au format PEM et portant des noms au format hash.0. (Reportez-vous à l'option -hash de l'utilitaire x509.) Linux : si aucune valeur n'est spécifiée, l'agent utilise la valeur attribuée à la variable d'environnement LI_AGENT_SSL_CA_PATH. Si cette valeur n'est pas présente, l'agent tente de charger des certificats approuvés à partir du fichier /etc/pki/tls/certs/ca-bundle.crt ou /etc/ssl/certs/ca-certificates.crt. Windows : si aucune valeur n'est spécifiée, l'agent utilise la valeur spécifiée par la variable d'environnement LI_AGENT_SSL_CA_PATH. Si cette valeur n'est pas présente, l'agent vRealize Log Insight Windows charge des certificats à partir du magasin de certificats racine de Windows.
ssl_accept_any	Indique si des certificats sont acceptés par l'agent vRealize Log Insight. Les valeurs possibles sont `yes`, `1`, `no` ou `0`. Lorsque la valeur est définie sur yes ou 1, l'agent accepte n'importe quel certificat du serveur et établit une connexion sécurisée pour l'envoi des données. La valeur par défaut est no.
ssl_accept_any_trusted	Les valeurs possibles sont yes, 1, no ou 0. Si l'agent vRealize Log Insight dispose d'un certificat signé approuvé par une autorité de certification stocké localement et reçoit un certificat valide différent signé par une autre autorité de certification approuvée, il vérifie l'option de configuration. Si la valeur est définie sur yes ou 1, l'agent accepte le nouveau certificat valide. Si la valeur est définie sur no ou sur 0, il rejette le certificat et met fin à la connexion. La valeur par défaut est no.
ssl_cn	`Common Name` du certificat auto-signé. La valeur par défaut est `VMware vCenter Log Insight`. Vous pouvez définir un `Common Name` personnalisé devant être vérifié par rapport au champ `Common Name` du certificat. L'agent vRealize Log Insight compare le champ `Common Name` du certificat reçu avec le nom d'hôte spécifié pour la clé `hostname` dans la section `[server]`. En l'absence de correspondance, l'agent vérifie la zone de texte `Common Name` par rapport à la clé ssl_cn dans le fichier liagent.ini. Si les valeurs correspondent, l'agent vRealize Log Insight accepte le certificat.

Note : Ces clés sont ignorées si SSL est désactivé.

Enregistrez et fermez le fichier liagent.ini.

Exemple : Configuration

Vous trouverez ci-dessous un exemple de la configuration SSL pour les certificats signés par une autorité de certification.

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

Voici un exemple de configuration SSL pour l'acceptation de tout type de certificats, y compris les certificats auto-signés.

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes