vRealize Log Insight エージェントの構成ファイルを編集して SSL 構成を変更したり、信頼済みルート証明書のパスを追加したり、エージェントが証明書を受け入れるかどうかを定義することができます。

この手順は Windows および Linux 用の vRealize Log Insight エージェントに適用されます。

前提条件

vRealize Log Insight Linux エージェント向け:
  • root としてログインするか、または sudo を使用してコンソール コマンドを実行します。
  • vRealize Log InsightLinux エージェントがインストールされた Linux マシンにログインし、コンソールを開き、pgrep liagent を実行して、vRealize Log Insight Linux エージェントがインストールされて実行中であることを確認します。
vRealize Log Insight Windows エージェント向け:

  • vRealize Log InsightWindows エージェントをインストールした Windows マシンにログインし、サービス マネージャを起動して vRealize Log Insight エージェント サービスがインストールされていることを確認します。

手順

  1. liagent.ini ファイルを含むフォルダに移動します。
    オペレーティング システム パス
    Linux /var/lib/loginsight-agent/
    Windows %ProgramData%\VMware\Log Insight Agent
  2. 任意のテキスト エディタで liagent.ini を開きます。
  3. liagent.ini ファイルの [server] セクションに次のキーを追加します。
    キー 説明
    ssl_ca_path

    接続ピア証明書の検証に使用される、ルート認証局の署名付き証明書のデフォルト ストレージ パスを上書きします。

    ssl_ca_path のパスを指定すると、Linux および Windows エージェントのデフォルトがオーバーライドされます。PEM 形式の複数の証明書が連結されているファイル、または PEM 形式でフォームが hash.0 という名前の証明書を含むディレクトリを使用できます。(X509 ユーティリティの -hash オプションを参照してください。)

    [Linux]:値を指定しない場合、エージェントは LI_AGENT_SSL_CA_PATH 環境変数に割り当てられた値を使用します。値が存在しない場合、エージェントは信頼される証明書を /etc/pki/tls/certs/ca-bundle.crt ファイルまたは /etc/ssl/certs/ca-certificates.crt ファイルからロードしようとします。

    [Windows]:値を指定しない場合、エージェントは LI_AGENT_SSL_CA_PATH 環境変数によって指定された値を使用します。値が存在しない場合、vRealize Log Insight Windows Agent は証明書を Windows ルート証明書ストアからロードします。

    ssl_accept_any vRealize Log Insight エージェントが証明書を受け入れるかどうかを定義します。可能な値は、yes1 no または 0 です。この値を yes または 1 に設定すると、エージェントは、サーバからの証明書を受け入れ、データを送信するための安全な接続を確立します。デフォルト値は no です。
    ssl_accept_any_trusted 可能な値は、yes、1、no または 0 です。vRealize Log Insight エージェントがローカルで格納された信頼済み認証局の署名付き証明書を持つ場合に、他の信頼済み認証局によって署名された別の有効な証明書を受信すると、このエージェントは構成オプションを確認します。値を yes または 1 に設定すると、エージェントは有効な新しい証明書を受け入れます。値を no または 0 に設定すると、証明書を拒否し、接続を切断します。デフォルト値は no です。
    ssl_cn 自己署名証明書の Common Name

    デフォルト値は VMware vCenter Log Insight です。証明書 Common Name フィールドと照合してチェックするカスタム Common Name を定義できます。vRealize Log Insight エージェントは、受信した証明書の Common Name フィールドを [server] セクションの hostname キーに対して指定されたホスト名と比較します。一致しない場合、エージェントは Common Name テキスト ボックスを liagent.ini ファイルの ssl_cn キーと照合してチェックします。値が一致する場合、vRealize Log Insight エージェントは証明書を受け入れます。

    注: SSL が無効な場合、これらのキーは無視されます。
  4. liagent.ini ファイルを保存して閉じます。

例: 構成

CA 署名証明書の SSL 構成の例を次に示します。 

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

自己署名証明書を含む任意のタイプの証明書を受け入れるための SSL 構成の例を次に示します。

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes