如果在支持 Site Recovery Manager 的 vCenter Server 上安装了受信任证书机构 (CA) 颁发的 SSL 证书,则所创建的供 Site Recovery Manager 使用的证书必须满足特定条件。
重要事项: 2015 年 11 月,公共 CA 停止颁发包含内部服务器名称或预留 IP 地址的 SSL/TLS 证书。2016 年 10 月 1 日,CA 将吊销包含内部服务器名称或预留 IP 地址的 SSL/TLS 证书。为了最大程度地减少将来的中断,如果您使用的 SSL/TLS 证书包含内部服务器名称或预留 IP 地址,请在 2016 年 10 月 1 日之前从私人 CA 获取新的合规证书。
- 有关内部服务器名称和预留 IP 地址的弃用信息,请参见 https://cabforum.org/internal-names/。
- 有关内部服务器名称和预留 IP 地址的弃用如何影响 VMware 产品的信息,请参见 http://kb.vmware.com/kb/2134735。
尽管 Site Recovery Manager 使用标准 PKCS#12 证书进行身份验证,但对这些证书的特定方面的内容有几项特定要求。这些要求适用于 Site Recovery Manager Server 配对的双方成员所使用的证书。
- Site Recovery Manager 配对的双方成员所使用的证书必须具有相同的主题名称值。主题名称值由以下要素构成。
- 公共名称 (CN) 属性。此处适合用字符串(如 SRM)。CN 属性属于强制性属性。
- 组织 (O) 属性和组织单位 (OU) 属性。O 和 OU 属性属于强制性属性。
- 其他属性,例如 L(区域)、S(州/省)和 C(国家/地区)属性允许有,但不属于强制性属性。如果指定了以上任一属性,则其值对于 Site Recovery Manager 配对的双方成员必须是相同的。
- Site Recovery Manager Server 配对的每个成员所使用的证书必须包括一个主题备用名称属性,该属性的值是 Site Recovery Manager Server 主机的完全限定的域名称。该值对于 Site Recovery Manager Server 配对的每个成员都不同。由于该名称受区分大小写比较的限制,因此在安装 Site Recovery Manager 期间指定名称时,使用小写字母。
- 如果使用 openssl CA,则修改 openssl 配置文件,以便在 Site Recovery Manager Server 主机的完全限定的域名为 srm1.example.com 时包含如下的行:
subjectAltName = DNS: srm1.example.com
- 如果使用的是 Microsoft CA,请参见 http://support.microsoft.com/kb/931351 获取有关如何设置主题备用名称的信息。
- 如果使用 openssl CA,则修改 openssl 配置文件,以便在 Site Recovery Manager Server 主机的完全限定的域名为 srm1.example.com 时包含如下的行:
- 如果 Site Recovery Manager Server 和 vCenter Server 运行在同一个主机上,则必须提供两个证书,一个用于 Site Recovery Manager,一个用于 vCenter Server。每个证书的“主题备用名称”属性都必须设置为主机的完全限定域名。因此,从安全角度而言,最好在不同的主机上运行 Site Recovery Manager Server 和 vCenter Server。
- Site Recovery Manager Server 配对的每个成员所使用的证书都必须包含 extendedKeyUsage 或 enhancedKeyUsage 属性,其值为
serverAuth, clientAuth。如果使用的是 openssl CA,请将 openssl 配置文件修改为包括如下形式的行:extendedKeyUsage = serverAuth, clientAuth
- Site Recovery Manager 证书密码不得超出 31 个字符。
- Site Recovery Manager 证书密钥长度最小必须为 2048 位。
- Site Recovery Manager 接受使用 MD5RSA 和 SHA1RSA 签名算法的证书,但不建议使用这样的证书。请使用 SHA256RSA 或更强大的签名算法。
