如果通过将 vSphere Replication 设置为仅接受由可信证书颁发机构签署的 SSL 证书来强制执行证书有效性验证，则证书请求的某些字段必须满足特定要求。

vSphere Replication 仅可以从 PKCS#12 格式的文件中导入和使用证书及专用密钥。有时，这些文件具有 .pfx 扩展名。

• 所颁发的证书对应的服务器名称必须与 VRMS Appliance Management Interface 中本地主机设置中的值相同。如果将主机名放置在本地主机设置中，或者如果证书的“主体备用名称”证书字段与本地主机设置相匹配，则只需相应地设置证书主体名称。
• vSphere Replication 会检查该问题，并针对当前日期核对证书的过期日期，以确保证书未过期。
• 如果您使用自己的证书颁发机构（例如通过 OpenSSL 工具创建和管理的机构），则必须向 OpenSSL 配置文件添加完全限定域名或 IP 地址。
  • 如果设备的完全限定域名为 VR1.example.com，请向 OpenSSL 配置文件添加 subjectAltName = DNS: VR1.example.com。
  • 如果使用设备的 IP 地址，则向 OpenSSL 配置文件添加 subjectAltName = IP: vr-appliance-ip-address。
• vSphere Replication 需要一个到已知根证书颁发机构的信任链。vSphere Replication 信任 Java 虚拟机信任的所有证书颁发机构。此外，您可以在 vSphere Replication 设备上手动导入 /opt/vmware/hms/security/hms-truststore.jks 中的其他可信 CA 证书。
• vSphere Replication 接受 SHA2 签名。
• vSphere Replication 不接受具有 512 位密钥的 RSA 或 DSA 证书。vSphere Replication 至少需要 1024 位密钥。最佳做法是使用 2048 位公钥。