如果通过将 vSphere Replication 设置为仅接受由可信证书颁发机构签署的 SSL 证书来强制执行证书有效性验证,则证书请求的某些字段必须满足特定要求。
vSphere Replication 仅可以从 PKCS#12 格式的文件中导入和使用证书及专用密钥。有时,这些文件具有 .pfx 扩展名。
- 所颁发的证书对应的服务器名称必须与 VRMS Appliance Management Interface 中本地主机设置中的值相同。如果将主机名放置在本地主机设置中,或者如果证书的“主体备用名称”证书字段与本地主机设置相匹配,则只需相应地设置证书主体名称。
- vSphere Replication 会检查该问题,并针对当前日期核对证书的过期日期,以确保证书未过期。
- 如果您使用自己的证书颁发机构(例如通过 OpenSSL 工具创建和管理的机构),则必须向 OpenSSL 配置文件添加完全限定域名或 IP 地址。
- 如果设备的完全限定域名为
VR1.example.com
,请向 OpenSSL 配置文件添加subjectAltName = DNS: VR1.example.com
。 - 如果使用设备的 IP 地址,则向 OpenSSL 配置文件添加
subjectAltName = IP: vr-appliance-ip-address
。
- 如果设备的完全限定域名为
- vSphere Replication 需要一个到已知根证书颁发机构的信任链。vSphere Replication 信任 Java 虚拟机信任的所有证书颁发机构。此外,您可以在 vSphere Replication 设备上手动导入 /opt/vmware/hms/security/hms-truststore.jks 中的其他可信 CA 证书。
- vSphere Replication 接受 SHA2 签名。
- vSphere Replication 不接受具有 512 位密钥的 RSA 或 DSA 证书。vSphere Replication 至少需要 1024 位密钥。最佳做法是使用 2048 位公钥。