如果在 vSphere Replication 设备的虚拟设备管理界面 (VAMI) 中通过选择仅接受由可信 CA 签署的 SSL 证书来强制验证证书有效性,则证书请求的部分字段必须满足特定要求。

vSphere Replication 仅可以从 PKCS#12 格式的文件中导入和使用证书及专用密钥。有时,这些文件具有 .pfx 扩展名。

  • 所颁发的证书对应的服务器名称必须与 VAMI 中 VRM 主机设置中的值相同。如果在 VRM 主机设置中输入了主机名称,则只需相应地设置证书主题名称。如果证书的任一证书“主题备用名称”字段与 VRM 主机设置匹配,则也可以正常工作。

  • vSphere Replication 会检查该问题,并针对当前日期核对证书的过期日期,以确保证书尚未过期。

  • 如果您使用自己的证书颁发机构(例如通过 OpenSSL 工具创建和管理的机构),则必须向 OpenSSL 配置文件添加完全限定域名或 IP 地址。

    • 如果设备的完全限定域名为 VR1.example.com,请向 OpenSSL 配置文件添加 subjectAltName = DNS:VR1.example.com

    • 如果使用设备的 IP 地址,则向 OpenSSL 配置文件添加 subjectAltName = IP:vr-appliance-ip-address

  • vSphere Replication 需要具有已知根证书颁发机构的信任链。vSphere Replication 信任 Java 虚拟机所信任的所有证书颁发机构。此外,您可以在 vSphere Replication 设备上手动导入 /opt/vmware/hms/security/hms-truststore.jks 中的其他可信 CA 证书。

  • vSphere Replication 接受 MD5 和 SHA1 签名,但 VMware 建议您使用 SHA256 签名。

  • vSphere Replication 不接受具有 512 位密钥的 RSA 或 DSA 证书。vSphere Replication 要求至少 1024 位密钥。VMware 建议使用 2048 位公用密钥。如果您使用 1024 位密钥,vSphere Replication 将显示警告。