vRealize Log Insight 에이전트 구성 파일을 편집하여 SSL 구성을 변경하고, 신뢰할 수 있는 루트 인증서에 대한 경로를 추가하고, 에이전트가 인증서를 수락하는지 여부를 지정할 수 있습니다.

이 절차는 Windows 및 Linux용 vRealize Log Insight 에이전트에 적용됩니다.

사전 요구 사항

vRealize Log Insight Linux 에이전트:
  • 루트로 로그인하거나 sudo를 사용하여 콘솔 명령을 실행합니다.
  • vRealize Log Insight Linux 에이전트를 설치한 Linux 시스템에 로그인하고, 콘솔을 연 후 pgrep liagent를 실행하여 vRealize Log Insight Linux 에이전트가 설치되어 실행 중인지 확인합니다.
vRealize Log Insight Windows 에이전트:

  • vRealize Log Insight Windows 에이전트가 설치된 Windows 시스템에 로그인하고 서비스 관리자를 시작하여 vRealize Log Insight 에이전트 서비스가 설치되었는지 확인합니다.

프로시저

  1. liagent.ini 파일을 포함하는 폴더로 이동합니다.
    운영 체제 경로
    Linux /var/lib/loginsight-agent/
    Windows %ProgramData%\VMware\Log Insight Agent
  2. 텍스트 편집기에서 liagent.ini 파일을 엽니다.
  3. liagent.ini 파일의 [server] 섹션에 다음 키를 추가합니다.
    설명
    ssl_ca_path

    연결 피어 인증서를 확인하는 데 사용되는, 루트 CA(인증 기관)에서 서명한 인증서에 대한 기본 스토리지 경로를 재정의합니다.

    ssl_ca_path에 대한 경로를 제공하는 경우 Linux 및 Windows 에이전트에 대한 기본값이 재정의됩니다. PEM 형식의 여러 인증서가 연결되거나 인증서를 포함하는 디렉토리가 PEM 형식이고 이름이 hash.0 형식인 경우 파일을 사용할 수 있습니다. (x509 유틸리티의 -hash 옵션을 참조하십시오.)

    Linux: 값을 지정하지 않으면 에이전트는 LI_AGENT_SSL_CA_PATH 환경 변수에 할당된 값을 사용합니다. 해당 값이 없으면 에이전트는 /etc/pki/tls/certs/ca-bundle.crt 파일 또는 /etc/ssl/certs/ca-certificates.crt 파일에서 신뢰할 수 있는 인증서 로드를 시도합니다.

    Windows: 값을 지정하지 않으면 에이전트는 LI_AGENT_SSL_CA_PATH 환경 변수로 지정된 값을 사용합니다. 해당 값이 없으면 vRealize Log Insight Windows 에이전트는 Windows 루트 인증서 스토어에서 인증서를 로드합니다.

    ssl_accept_any vRealize Log Insight 에이전트에서 인증서를 수락하는지 여부를 정의합니다. 가능한 값은 yes, 1, no 또는 0입니다. 값을 yes 또는 1로 설정하면 에이전트가 서버의 인증서를 수락하고 데이터 전송을 위한 보안 연결을 설정합니다. 기본값은 no입니다.
    ssl_accept_any_trusted 가능한 값은 yes, 1, no 또는 0입니다. 신뢰할 수 있는 CA(인증 기관)에서 서명한 인증서가 로컬에 저장된 vRealize Log Insight 에이전트의 경우 다른 신뢰할 수 있는 CA(인증 기관)에서 서명한 유효 인증서가 수신되면 구성 옵션을 확인합니다. 값이 yes 또는 1로 설정되어 있으면 에이전트는 유효한 새 인증서를 수락합니다. 값이 no 또는 0으로 설정되어 있으면 Agent는 인증서를 거부하고 연결을 종료합니다. 기본값은 no입니다.
    ssl_cn 자체 서명된 인증서의 Common Name입니다.

    기본값은 VMware vCenter Log Insight입니다. 인증서의 Common Name 필드와 비교하여 확인할 사용자 지정 Common Name을 정의할 수 있습니다. vRealize Log Insight 에이전트는 [server] 섹션의 hostname 키에 대해 지정된 호스트 이름과 수신된 인증서의 Common Name 필드를 비교합니다. 일치하지 않는 경우 에이전트는 liagent.ini 파일의 ssl_cn 키와 Common Name 텍스트 상자를 비교하여 확인합니다. 값이 일치하면 vRealize Log Insight 에이전트는 인증서를 수락합니다.

    참고: 이러한 키는 SSL이 비활성화되면 무시됩니다.
  4. liagent.ini 파일을 저장한 후 닫습니다.

예: 구성

다음은 CA 서명된 인증서에 대한 SSL 구성의 예입니다. 

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

다음은 자체 서명을 포함하여 모든 유형의 인증서를 수락하기 위한 SSL 구성의 예입니다.

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes