Log Insight Agents は自己署名証明書を拒否します。

問題

vRealize Log Insight エージェントが自己署名証明書を拒否し、サーバとの接続を確立できません。

注: エージェントとの接続で問題が発生した場合は、エージェントのデバッグ レベルを 1 に変更することで、詳細ログを生成して確認できます。詳細については、 Log Insight Agents のログの詳細レベルの定義を参照してください。

原因

エージェント ログに表示されるメッセージには、具体的な理由が記載されます。

メッセージ 原因
ピアの自己署名証明書を拒否します。パブリック キーが以前に保存された証明書のキーと一致しません。
  • これは、vRealize Log Insight の証明書が置換された場合に起こることがあります。
  • これは、HA 対応のクラスタ内環境が、vRealize Log Insight ノード上の異なる自己署名証明書で構成されている場合に発生する場合があります。
ピアの自己署名証明書を拒否します。信頼される CA によって署名された、以前受信した証明書を使用してください。 CA 署名付き証明書がエージェント側に格納されています。

解決方法

  • ターゲットのホスト名が、信頼される vRealize Log Insight インスタンスであることを確認してから、以前の証明書を vRealize Log Insight Agent の cert ディレクトリから手動で削除します。
    • Log Insight Windows Agent 用の証明書は、C:\ProgramData\VMware\Log Insight Agent\cert にあります。
    • Log Insight Linux Agent 用の証明書は、/var/lib/loginsight-agent/cert にあります。
    注: 一部のプラットフォームでは、信頼される証明書の保存先として、標準以外のパスを使用している場合があります。 Log Insight Agents には、 ssl_ca_path=<fullpath> 構成パラメータを設定することで、信頼される証明書ストアへのパスを構成するオプションがあります。 <fullpath> は、信頼されるルート証明書のバンドル ファイルのパスに置き換えてください。 Log Insight Agent の SSL パラメータの構成を参照してください。