如果对 Site Recovery Manager 服务器端点证书使用自定义 SSL/TLS 证书,则这些证书必须满足特定条件。
Site Recovery Manager 8.x 使用标准 PKCS#12 证书。Site Recovery Manager 对这些证书的内容设置了一些要求。
- Site Recovery Manager 不接受使用 MD5 签名算法的证书。请使用 SHA256 或更强大的签名算法。
- 默认情况下,Site Recovery Manager 不接受使用 SHA-1 签名算法的证书。请使用 SHA256 或更强大的签名算法。
- Site Recovery Manager 证书不是信任链的根证书。您可以使用中间 CA 证书,它不是信任链的根证书,但仍然是 CA 证书。
- 如果为 vCenter Server 使用自定义证书,则无需为 Site Recovery Manager 使用自定义证书。反之亦然。
- PKCS #12 文件中的专用密钥必须与该证书相匹配。专用密钥的最小长度为 2048 位。
- Site Recovery Manager 证书密码不得超出 31 个字符。
- 当前时间必须处于该证书的有效期内。
- 该证书必须是服务器证书,x509v3 扩展密钥用法必须针对其指示 TLS Web 服务器身份验证。
- 该证书必须包含
extendedKeyUsage
或enhancedKeyUsage
属性,其值为serverAuth
。 - 不要求该证书同时为客户端证书。不要求包含
clientAuth
值。
- 该证书必须包含
- 主题名称不得为空,并且包含的字符数必须少于 4096 个。在此版本中,Site Recovery Manager Server 对的两个成员的主题名称不必相同。
- 该证书必须标识 Site Recovery Manager Server 主机。
- 标识 Site Recovery Manager Server 主机的建议方法是使用该主机的完全限定域名 (FQDN)。如果该证书使用 IP 地址标识 Site Recovery Manager Server 主机,则该 IP 地址必须是 IPv4 地址。不支持使用 IPv6 地址标识主机。
- 证书通常在“主题备用名称”(SAN) 属性中标识主机。某些 CA 颁发在“主题名称”属性的“公用名称”(CN) 值中标识主机的证书。Site Recovery Manager 接受在 CN 值中标识主机的证书,但这不是最佳做法。有关 SAN 和 CN 最佳做法的信息,请参见 Internet 工程任务组 (IETF) RFC 6125,网址为 https://tools.ietf.org/html/rfc6125。
- 证书中的主机标识符必须与在安装 Site Recovery Manager 时指定的 Site Recovery Manager Server 本地主机地址相匹配。
- 如果 Site Recovery Manager Server和 vCenter Server 在同一个主机上运行,则可以为这两个服务器使用同一证书。在这种情况下,必须以两种格式提供该证书:
- 对于 Site Recovery Manager,该证书必须是包含专用密钥和公用密钥的个人信息交换格式 (PKCS#12) 证书。
- 对于 vCenter Server,必须将该证书分为两个文件,一个用于包含公用密钥的证书,一个用于包含专用密钥的证书。有关 vCenter Server 的证书要求的信息,请参见 vSphere 7.0 文档中的“vSphere 安全证书”。