主な SSL 機能を理解することで、Log Insight Agents を正しく構成できます。

vRealize Log Insight エージェントは、証明書を格納し、特定のサーバへの最初の接続を除くすべての接続においてその証明書を使用してサーバの ID を確認します。サーバ ID を確認できない場合、 vRealize Log Insight エージェントはサーバとの接続を拒否し、適切なエラー メッセージをログに書き込みます。エージェントが受信した証明書は cert フォルダに格納されます。
  • Windows の場合は、C:\ProgramData\VMware\Log Insight Agent\cert に移動します。
  • Linux の場合は、/var/lib/loginsight-agent/cert に移動します。
vRealize Log Insight エージェントは、 vRealize Log Insight サーバとの安全な接続を確立すると、 vRealize Log Insight サーバから受信した証明書が有効であるか確認します。 vRealize Log Insight エージェントはシステムによって信頼された証明書を使用します。
  • Log Insight Linux Agent/etc/pki/tls/certs/ca-bundle.crt または /etc/ssl/certs/ca-certificates.crt から信頼済み証明書を読み込みます。
  • Log Insight Windows Agent はシステム ルート証明書を使用します。

vRealize Log Insight エージェントは、自己署名証明書がローカルに格納されている場合に、同一の公開キーを持つ別の有効な自己署名証明書を受信すると、その新しい証明書を受け入れます。これは、自己署名証明書が同じプライベート キー、ただし新しい有効期限などの異なる詳細を使用して、自己署名証明書が再生成された場合に発生します。そうでない場合、接続は拒否されます。

vRealize Log Insight エージェントは、自己署名証明書がローカルに格納されている場合に、有効な CA 署名付き証明書を受信すると、vRealize Log Insight エージェントは受け入れた新しい証明書をサイレントで置換します。

vRealize Log Insight エージェントは、CA 署名付き証明書の所有後に自己署名証明書を受信すると、Log Insight エージェントがその証明書を拒否します。vRealize Log Insight エージェントは、vRealize Log Insight サーバへの初回接続時にのみそのサーバから自己署名証明書を受け入れます。

vRealize Log Insight エージェントは、CA 署名付き証明書がローカルに格納されている場合に、別の信頼済み CA によって署名された有効な証明書を受信すると、その証明書を拒否します。その新しい証明書を受け入れるように vRealize Log Insight エージェントの構成オプションを変更できます。vRealize Log Insight エージェントの SSL パラメータの構成を参照してください。

vRealize Log Insight エージェントは TLSv.1.2 を使用して通信します。SSLv.3/TLSv.1.0 はセキュリティ ガイドラインを満たすように無効化されています。