您可以編輯 vRealize Log Insight 代理程式組態檔以變更 SSL 組態、將路徑新增至受信任的根憑證,並指定代理程式是否接受憑證。

此程序適用於 Windows 和 Linux 適用的 vRealize Log Insight 代理程式。

必要條件

對於 vRealize Log Insight Linux 代理程式:
  • 根使用者身分登入,或使用 sudo 執行主控台命令。
  • 登入安裝有 vRealize Log Insight Linux 代理程式的 Linux 機器,開啟主控台並執行 pgrep liagent,以確認 vRealize Log Insight Linux 代理程式已安裝且正在執行。
對於 vRealize Log Insight Windows 代理程式:

  • 登入已安裝 vRealize Log Insight Windows 代理程式的 Windows 機器,然後啟動服務管理員以確認 vRealize Log Insight 代理程式服務已安裝。

程序

  1. 導覽到包含 liagent.ini 檔案的資料夾。
    作業系統 路徑
    Linux /var/lib/loginsight-agent/
    Windows %ProgramData%\VMware\Log Insight Agent
  2. 在任一文字編輯器中開啟 liagent.ini 檔案。
  3. 將以下索引鍵新增到 liagent.ini 檔案的 [server] 區段。
    索引鍵 說明
    ssl_ca_path

    覆寫根憑證授權機構簽署憑證的預設儲存區路徑,其用於驗證連線對等憑證。

    ssl_ca_path 提供路徑時,您會覆寫 Linux 和 Windows 代理程式的預設值。您可以使用一個檔案,其中採用 PEM 格式的多個憑證已串連,或使用一個目錄,其中包含的憑證採用 PEM 格式且名稱格式為 hash.0。(請參閱 x509 公用程式的 -hash 選項。)

    Linux:如果沒有指定值,代理程式會使用指派給 LI_AGENT_SSL_CA_PATH 環境變數的值。如果該值不存在,代理程式會嘗試從 /etc/pki/tls/certs/ca-bundle.crt 檔案或從 /etc/ssl/certs/ca-certificates.crt 檔案載入受信任的憑證。

    Windows:如果沒有指定值,代理程式會使用 LI_AGENT_SSL_CA_PATH 環境變數指定的值。如果該值不存在,vRealize Log Insight Windows 代理程式會從 Windows 根憑證存放區載入憑證。

    ssl_accept_any 定義 vRealize Log Insight 代理程式是否接受任何憑證。可能的值為 yes1 no0。當該值設為 yes 或 1 時,代理程式會接受來自伺服器的任何憑證,並建立用於傳送資料的安全連線。預設值為 no。
    ssl_accept_any_trusted 可能的值為 yes、1、no 或 0。如果 vRealize Log Insight 代理程式具有本機儲存的受信任憑證授權機構簽署的憑證,並收到由另一受信任憑證授權機構所簽署的有效憑證,則會檢查組態選項。如果該值設為 yes 或 1,則代理程式會接受新的有效憑證。如果該值設為 no 或 0,則會拒絕憑證並終止連線。預設值為 no。
    ssl_cn 自我簽署憑證的 Common Name

    預設值為 VMware vCenter Log Insight。您可以對照憑證 Common Name 欄位來定義要檢查的自訂 Common NamevRealize Log Insight 代理程式會將所收到憑證的 Common Name 欄位與 [server] 區段中為 hostname 索引鍵指定的主機名稱進行比較。如果兩者不相符,代理程式會對照 liagent.ini 檔案中的 ssl_cn 索引鍵來檢查 Common Name 文字欄位。如果該值相符,則 vRealize Log Insight 代理程式會接受憑證。

    備註: 如果停用 SSL,則會忽略這些索引鍵。
  4. 儲存並關閉 liagent.ini 檔案。

範例: 組態

以下是 CA 簽署憑證的 SSL 組態範例。 

proto=cfapi
port=9543
ssl=yes
ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt
ssl_accept_any=no
ssl_accept_any_trusted=yes
ssl_cn=LOGINSIGHT

以下是 SSL 組態範例,用來接受任何類型的憑證,包括自我簽署憑證。

proto=cfapi
port=9543
ssl=yes
ssl_accept_any=yes