如果对 Site Recovery Manager 服务器端点证书使用自定义 SSL/TLS 证书,则这些证书必须满足特定条件。

重要:

2015 年 11 月,公共证书颁发机构 (CA) 停止颁发包含内部服务器名称或预留 IP 地址的 SSL/TLS 证书。2016 年 10 月 1 日,CA 将吊销包含内部服务器名称或预留 IP 地址的 SSL/TLS 证书。为了最大程度地减少将来的中断,如果您使用的 SSL/TLS 证书包含内部服务器名称或预留 IP 地址,请在 2016 年 10 月 1 日之前从公共 CA 获取新的合规证书。或者,使用私人 CA 颁发证书。

Site Recovery Manager 6.x 使用标准 PKCS#12 证书。Site Recovery Manager 对这些证书的内容有一些要求,但该版本中的要求没有 Site Recovery Manager 5.x 版本中的要求严格。

  • Site Recovery Manager 不接受使用 MD5 签名算法的证书。请使用 SHA256 或更强大的签名算法。

  • Site Recovery Manager 接受使用 SHA1 签名算法的证书,但不建议使用这些证书,因为它们会导致安装过程中出现警告。请使用 SHA256 或更强大的签名算法。

  • Site Recovery Manager 证书不是信任链的根证书。您可以使用中间 CA 证书,它不是信任链的根证书,但仍然是 CA 证书。

  • 如果为 vCenter ServerPlatform Services Controller 使用自定义证书,则无需为 Site Recovery Manager 使用自定义证书。反之亦然。

  • PKCS #12 文件中的专用密钥必须与该证书相匹配。专用密钥的最小长度为 2048 位。

  • Site Recovery Manager 证书密码不得超出 31 个字符。

  • 当前时间必须处于该证书的有效期内。

  • 该证书必须是服务器证书,x509v3 扩展密钥用法必须针对其指示 TLS Web 服务器身份验证。

    • 该证书必须包含 extendedKeyUsageenhancedKeyUsage 属性,其值为 serverAuth

    • 与 5.x 版本不同,不要求该证书同时为客户端证书。不要求包含 clientAuth 值。

  • 主题名称不得为空,并且包含的字符数必须少于 4096 个。在此版本中,Site Recovery Manager Server 对的两个成员的主题名称不必相同。

  • 该证书必须标识 Site Recovery Manager Server 主机。

    • 标识 Site Recovery Manager Server 主机的建议方法是使用该主机的完全限定域名 (FQDN)。如果该证书使用 IP 地址标识 Site Recovery Manager Server 主机,则该 IP 地址必须是 IPv4 地址。不支持使用 IPv6 地址标识主机。

    • 证书通常在“主题备用名称”(SAN) 属性中标识主机。某些 CA 颁发在“主题名称”属性的“公用名称”(CN) 值中标识主机的证书。Site Recovery Manager 接受在 CN 值中标识主机的证书,但这不是最佳做法。有关 SAN 和 CN 最佳做法的信息,请参见 Internet 工程任务组 (IETF) RFC 6125,网址为 https://tools.ietf.org/html/rfc6125

    • 证书中的主机标识符必须与在安装 Site Recovery Manager 时指定的 Site Recovery Manager Server 本地主机地址相匹配。

  • 如果 Site Recovery Manager ServervCenter ServerPlatform Services Controller 在同一个主机上运行,则可以为所有三个服务器使用同一证书。在这种情况下,必须以两种格式提供该证书:

    • 对于 Site Recovery Manager,该证书必须是包含专用密钥和公用密钥的个人信息交换格式 (PKCS#12) 证书。

    • 对于 vCenter ServerPlatform Services Controller,必须将该证书分为两个文件,一个用于使用公用密钥的证书,一个用于使用专用密钥的证书。有关 vCenter ServerPlatform Services Controller 的证书要求的信息,请参见 vSphere 6.0 文档中的“vSphere 安全证书”

  • 如果使用由默认未在 Windows 中针对其注册根证书的第三方 CA 签署的自定义证书,并且希望在无需进行指纹验证的情况下信任证书,则在 Windows 证书存储中安装根 CA 证书。