瞭解主要 SSL 功能可協助您正確設定 Log Insight Agents。
vRealize Log Insight 代理程式可儲存憑證,並在與特定伺服器的所有 (除了第一次) 連線期間將憑證用於驗證伺服器的身分。如果無法確認伺服器的身分,
vRealize Log Insight 代理程式會拒絕與伺服器連線並將適當的錯誤訊息寫入記錄。代理程式接收的憑證將儲存於
cert 資料夾。
- 對於 Windows,請前往 C:\ProgramData\VMware\Log Insight Agent\cert。
- 對於 Linux,請前往 /var/lib/loginsight-agent/cert。
當
vRealize Log Insight 代理程式建立與
vRealize Log Insight 伺服器的安全連線時,代理程式會檢查從
vRealize Log Insight 伺服器接收的憑證的有效性。
vRealize Log Insight 代理程式使用系統信任的根憑證。
- Log Insight Linux Agent從 /etc/pki/tls/certs/ca-bundle.crt 或 /etc/ssl/certs/ca-certificates.crt 載入受信任的憑證。
- Log Insight Windows Agent使用系統根憑證。
如果 vRealize Log Insight 代理程式已本機儲存自我簽署的憑證,但是接收了另一個含相同公開金鑰的有效自我簽署的憑證,則代理程式將接受新憑證。使用含不同詳細資料 (例如,新的到期日期) 的相同私密金鑰重新產生自我簽署的憑證時,可能會發生此情況。否則,連線將遭拒。
如果 vRealize Log Insight 代理程式已本機儲存自我簽署的憑證,但接收了有效的 CA 簽署憑證,則 vRealize Log Insight 代理程式會以無訊息方式取代新接受的憑證。
如果 vRealize Log Insight 代理程式已經擁有 CA 簽署憑證,又接收自我簽署的憑證,則 Log Insight 代理程式會拒絕它。僅在第一次與伺服器連線時,vRealize Log Insight 代理程式接受從 vRealize Log Insight 伺服器接收的自我簽署的憑證。
如果 vRealize Log Insight 代理程式已本機儲存 CA 簽署憑證,但接收另一個受信任 CA 簽署的有效憑證,代理程式將拒絕它。您可以修改 vRealize Log Insight 代理程式的組態選項以接受新憑證。請參閱設定 vRealize Log Insight 代理程式 SSL 參數。
已停用讓 vRealize Log Insight 代理程式無法透過 TLSv.1.2. SSLv.3/TLSv.1.0 進行通訊,以符合安全性準則。