Wenn Sie SSL-Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle (CA) auf vCenter Server installiert haben, der Site Recovery Manager unterstützt, müssen die von Ihnen für den Einsatz mit Site Recovery Manager erstellten Zertifikate bestimmten Kriterien entsprechen.

Wichtig:

Öffentliche Zertifizierungsstellen stoppten im November 2015 das Ausstellen von SSL/TLS-Zertifikaten, die interne Servernamen oder reservierte IP-Adressen enthalten. Zertifizierungsstellen widerrufen ab 1. Oktober 2016 SSL/TLS-Zertifikate, die interne Servernamen oder reservierte IP-Adressen enthalten. Wenn Sie SSL/TLS-Zertifikate verwenden, die interne Servernamen oder reservierte IP-Adressen enthalten, besorgen Sie sich vor dem 1. Oktober 2016 neue, kompatible Zertifikate von einer privaten Zertifizierungsstelle, um zukünftige Störungen zu vermeiden.

Site Recovery Manager verwendet zwar Standard-PKCS#12-Zertifikate zur Authentifizierung, stellt aber spezielle Anforderungen an den Inhalt bestimmter Felder dieser Zertifikate. Diese Anforderungen beziehen sich auf die Zertifikate, die von beiden Mitgliedern eines Site Recovery Manager Server-Paars verwendet werden.

  • Die Zertifikate müssen einen Wert für „Objektname“ aufweisen, der für beide Mitglieder des Site Recovery Manager-Paars identisch sein muss. Der Wert für „Objektname“ lässt sich anhand der folgenden Komponenten konstruieren.

    • Ein Attribut für einen allgemeinen Namen (CN). Beispielsweise wäre SRM hier eine passende Zeichenfolge. Das Attribut für den allgemeinen Namen ist obligatorisch.

    • Ein Attribut für eine Organisation (O) und eine Organisationseinheit (OU). Die Attribute für die Organisation und die Organisationseinheit sind obligatorisch.

    • Andere Attribute, z. B. L (Ort), S (Staat) und C (Land), sind zulässig, aber nicht obligatorisch. Wenn Sie irgendwelche dieser Attribute festlegen, müssen die Werte für beide Mitglieder des Site Recovery Manager-Paares identisch sein.

  • Das von den Mitgliedern eines Site Recovery Manager Server-Paars eingesetzte Zertifikat muss das Attribut „Subject Alternative Name“ enthalten, dessen Wert der vollqualifizierte Domänenname des Site Recovery Manager Server-Hosts ist. Dieser Wert ist für jedes Mitglied des Site Recovery Manager Server-Paars unterschiedlich. Da bei diesem Namen die Groß- und Kleinschreibung berücksichtigt wird, verwenden Sie bei der Angabe des Namens während der Site Recovery Manager-Installation stets Kleinbuchstaben.

    • Wenn Sie eine OpenSSL-CA verwenden, fügen Sie eine Zeile in die OpenSSL-Konfigurationsdatei ein, die mit folgender Zeile vergleichbar ist (in diesem Beispiel lautet der vollqualifizierte Domänenname des Site Recovery Manager Server-Hosts „srm1.example.com“:

      subjectAltName = DNS: srm1.example.com
    • Wenn Sie eine Microsoft-CA verwenden, finden Sie die Informationen zum Einstellen des Attributs „Subject Alternative Name“ unter http://support.microsoft.com/kb/931351.

  • Wenn Site Recovery Manager Server und vCenter Server auf derselben Hostmaschine ausgeführt werden, müssen Sie zwei Zertifikate bereitstellen, eins für Site Recovery Manager und eins für vCenter Server. Bei jedem Zertifikat muss das Attribut „Subject Alternative Name“ auf den vollqualifizierten Domänennamen der Hostmaschine gesetzt sein. Folglich ist es im Hinblick auf die Sicherheit besser, Site Recovery Manager Server und vCenter Server auf verschiedenen Hostmaschinen auszuführen.

  • Das von den Mitgliedern eines Site Recovery Manager Server-Paars verwendete Zertifikat muss das Attribut extendedKeyUsage oder enhancedKeyUsage enthalten, dessen Wert serverAuth, clientAuth ist. Wenn Sie eine OpenSSL-CA verwenden, fügen Sie in die OpenSSL-Konfigurationsdatei eine Zeile ein, die mit der Folgenden vergleichbar ist:

    extendedKeyUsage = serverAuth, clientAuth
  • Das Kennwort für das Site Recovery Manager-Zertifikat darf nicht mehr als 31 Zeichen umfassen.

  • Die Schlüssellänge des Site Recovery Manager-Zertifikats muss mindestens 2048 Bit betragen.

  • Site Recovery Manager akzeptiert Zertifikate mit MD5RSA- und SHA1RSA-Signaturalgorithmen, doch werden diese nicht empfohlen. Sie sollten SHA256RSA oder stärkere Signaturalgorithmen verwenden.