主な SSL 機能

主な SSL 機能を理解することで、VMware Aria Operations for Logs Agents を正しく構成できます。

VMware Aria Operations for Logs エージェントは、証明書を格納し、特定のサーバへの最初の接続を除くすべての接続においてその証明書を使用してサーバの ID を確認します。サーバ ID を確認できない場合、 VMware Aria Operations for Logs エージェントはサーバとの接続を拒否し、適切なエラーメッセージをログに書き込みます。エージェントが受信した証明書は cert フォルダに格納されます。

Windows の場合は、C:\ProgramData\VMware\Log Insight Agent\cert に移動します。
Linux の場合は、/var/lib/loginsight-agent/cert に移動します。

VMware Aria Operations for Logs エージェントは、 VMware Aria Operations for Logs サーバとの安全な接続を確立すると、 VMware Aria Operations for Logs サーバから受信した証明書が有効であるか確認します。 VMware Aria Operations for Logs エージェントはシステムによって信頼された証明書を使用します。

VMware Aria Operations for Logs Linux Agent は /etc/pki/tls/certs/ca-bundle.crt または /etc/ssl/certs/ca-certificates.crt から信頼済み証明書を読み込みます。
VMware Aria Operations for Logs Windows Agent はシステムルート証明書を使用します。

VMware Aria Operations for Logs エージェントは、自己署名証明書がローカルに格納されている場合に、同一の公開キーを持つ別の有効な自己署名証明書を受信すると、その新しい証明書を受け入れます。これは、自己署名証明書が同じプライベートキー、ただし新しい有効期限などの異なる詳細を使用して、自己署名証明書が再生成された場合に発生します。そうでない場合、接続は拒否されます。

VMware Aria Operations for Logs エージェントは、自己署名証明書がローカルに格納されている場合に、有効な CA 署名付き証明書を受信すると、VMware Aria Operations for Logs エージェントは受け入れた新しい証明書をサイレントで置換します。

VMware Aria Operations for Logs エージェントが CA 署名付き証明書の保有後に自己署名証明書を受信すると、VMware Aria Operations for Logs エージェントはその証明書を拒否します。VMware Aria Operations for Logs エージェントは、VMware Aria Operations for Logs サーバへの初回接続時にのみそのサーバから自己署名証明書を受け入れます。

VMware Aria Operations for Logs エージェントは、CA 署名付き証明書がローカルに格納されている場合に、別の信頼済み CA によって署名された有効な証明書を受信すると、その証明書を拒否します。その新しい証明書を受け入れるように VMware Aria Operations for Logs エージェントの構成オプションを変更できます。VMware Aria Operations for Logs エージェントの SSL パラメータの構成を参照してください。

VMware Aria Operations for Logs エージェントは TLSv.1.2 を使用して通信します。SSLv.3/TLSv.1.0 はセキュリティガイドラインを満たすように無効にされています。