Site Recovery Manager 使用标准 PKCS#12 证书。Site Recovery Manager 对这些证书的内容有一些要求，但该版本中的要求没有先前版本的 Site Recovery Manager 中的要求严格。

• Site Recovery Manager 不接受使用 MD5 签名算法的证书。请使用 SHA256 或更强大的签名算法。如果要升级使用 MD5 证书的现有 Site Recovery Manager 安装，则必须在升级 Site Recovery Manager 之前获取具有更强大的签名算法的新证书。

• Site Recovery Manager 接受使用 SHA1 签名算法的证书，但不建议使用这些证书，因为它们会导致安装过程中出现警告。请使用 SHA256 或更强大的签名算法。

• Site Recovery Manager 证书不是信任链的根证书。该证书不得为 CA 证书。

• 如果为 vCenter Server 和 Platform Services Controller 使用自定义证书，则无需为 Site Recovery Manager 使用自定义证书，反之亦然。

• PKCS #12 文件中的专用密钥必须与该证书相匹配。专用密钥的最小长度为 2048 位。

• Site Recovery Manager 证书密码不得超出 31 个字符。

• 当前时间必须处于该证书的有效期内。

• 该证书必须是服务器证书，x509v3 扩展密钥用法必须针对其指示 TLS Web 服务器身份验证。

  • 该证书必须包含 extendedKeyUsage 或 enhancedKeyUsage 属性，其值为 serverAuth。

  • 与先前版本不同，不要求该证书同时为客户端证书。不要求包含 clientAuth 值。

• 主题名称不得为空，并且包含的字符数必须少于 4096 个。在此版本中，Site Recovery Manager Server 对的两个成员的主题名称不必相同。

• 该证书必须标识 Site Recovery Manager Server 主机。

  • 标识 Site Recovery Manager Server 主机的建议方法是使用该主机的完全限定域名 (FQDN)。如果该证书使用 IP 地址标识 Site Recovery Manager Server 主机，则该 IP 地址必须是 IPv4 地址。不支持使用 IPv6 地址标识主机。

  • 证书通常在“主题备用名称”(SAN) 属性中标识主机。某些 CA 颁发在“主题名称”属性的“公用名称”(CN) 值中标识主机的证书。Site Recovery Manager 接受在 CN 值中标识主机的证书，但这不是最佳做法。有关 SAN 和 CN 最佳做法的信息，请参见 Internet 工程任务组 (IETF) RFC 6125，网址为 https://tools.ietf.org/html/rfc6125。

  • 证书中的主机标识符必须与在安装 Site Recovery Manager 时指定的 Site Recovery Manager Server 本地主机地址相匹配。

• 如果 Site Recovery Manager Server、vCenter Server 和 Platform Services Controller 在同一个主机上运行，则可以为 Site Recovery Manager Server 和 Platform Services Controller 使用同一证书。在这种情况下，必须以两种格式提供该证书：

  • 对于 Site Recovery Manager，该证书必须是包含专用密钥和公用密钥的个人信息交换格式 (PKCS#12) 证书。

  • 对于 vCenter Server 和 Platform Services Controller，必须将该证书分为两个文件，一个用于使用公用密钥的证书，一个用于使用专用密钥的证书。

• 如果使用由默认未在 Windows 中针对其注册根证书的第三方 CA 签署的自定义证书，并且希望在无需进行指纹验证的情况下信任证书，则在 Windows 证书存储中安装根 CA 证书。