Site Recovery Manager 9.x 使用标准 PKCS#12 证书。Site Recovery Manager 对这些证书的内容设置了一些要求。

• Site Recovery Manager 不接受使用 MD5 签名算法的证书。请使用 SHA256 或更强大的签名算法。
• 默认情况下，Site Recovery Manager 不接受使用 SHA-1 签名算法的证书。请使用 SHA256 或更强大的签名算法。
• Site Recovery Manager 证书不是信任链的根证书。您可以使用中间 CA 证书，它不是信任链的根证书，但仍然是 CA 证书。
• 如果为 vCenter Server 使用自定义证书，则无需为 Site Recovery Manager 使用自定义证书。反之亦然。
• PKCS #12 文件中的专用密钥必须与该证书相匹配。专用密钥的最小长度为 2048 位。
• Site Recovery Manager 证书密码不得超出 31 个字符。
• 当前时间必须处于该证书的有效期内。
• 该证书必须是服务器证书，x509v3 扩展密钥用法必须针对其指示 TLS Web 服务器身份验证。
  • 该证书必须包含 extendedKeyUsage 或 enhancedKeyUsage 属性，其值为 serverAuth。
  • 不要求该证书同时为客户端证书。不要求包含 clientAuth 值。
• 主题名称不得为空，并且包含的字符数必须少于 4096 个。在此版本中，Site Recovery Manager Server 对的两个成员的主题名称不必相同。
• 该证书必须标识 Site Recovery Manager Server 主机。
  • 标识 Site Recovery Manager Server 主机的建议方法是使用该主机的完全限定域名 (FQDN)。如果该证书使用 IP 地址标识 Site Recovery Manager Server 主机，则该 IP 地址必须是 IPv4 地址。不支持使用 IPv6 地址标识主机。
  • 证书通常在“主题备用名称”(SAN) 属性中标识主机。某些 CA 颁发在“主题名称”属性的“公用名称”(CN) 值中标识主机的证书。Site Recovery Manager 接受在 CN 值中标识主机的证书，但这不是最佳做法。有关 SAN 和 CN 最佳做法的信息，请参见 Internet 工程任务组 (IETF) RFC 6125，网址为 https://tools.ietf.org/html/rfc6125。
  • 证书中的主机标识符必须与在安装 Site Recovery Manager 时指定的 Site Recovery Manager Server 本地主机地址相匹配。