Wenn Sie benutzerdefinierte SSL/TLS-Zertifikate für das Server-Endpointpunkt-Zertifikat von Site Recovery Manager verwenden, müssen die Zertifikate bestimmte Anforderungen erfüllen.

Wichtig:

Öffentliche Zertifizierungsstellen (CAs) stoppten im November 2015 das Ausstellen von SSL/TLS-Zertifikaten, die interne Servernamen oder reservierte IP-Adressen enthalten. Zertifizierungsstellen widerrufen ab 1. Oktober 2016 SSL/TLS-Zertifikate, die interne Servernamen oder reservierte IP-Adressen enthalten. Wenn Sie SSL/TLS-Zertifikate verwenden, die interne Servernamen oder reservierte IP-Adressen enthalten, besorgen Sie sich vor dem 1. Oktober 2016 neue, kompatible Zertifikate von Ihrer öffentlichen Zertifizierungsstelle, um zukünftige Störungen zu vermeiden. Alternativ können Sie sich zum Ausstellen von Zertifikaten auch an eine private Zertifizierungsstelle wenden.

Site Recovery Manager verwendet Standard-PKCS#12-Zertifikate. Site Recovery Manager stellt einige Anforderungen an die Inhalte dieser Zertifikate, aber die Anforderungen in dieser Version sind weniger streng als in früheren Versionen von Site Recovery Manager.

  • Site Recovery Manager akzeptiert keine Zertifikate mit MD5-Signaturalgorithmen. Sie sollten SHA256 oder stärkere Signaturalgorithmen verwenden. Wenn Sie bei einer bestehenden Installation von Site Recovery Manager bestehenden Installation, bei der Sie MD5-Zertifikate verwenden, ein Upgrade durchführen, müssen Sie ein neues Zertifikat mit einem stärkeren Signaturalgorithmus abrufen, bevor Sie ein Upgrade von Site Recovery Manager durchführen.

  • Site Recovery Manager akzeptiert Zertifikate mit SHA1-Signaturalgorithmen, aber diese werden nicht empfohlen und führen während der Installation zu einer Warnung. Sie sollten SHA256 oder stärkere Signaturalgorithmen verwenden.

  • Das Site Recovery Manager-Zertifikat ist nicht der Stamm einer Vertrauenskette. Es darf kein Zertifikat einer Zertifizierungsstelle sein.

  • Wenn Sie für vCenter Server und Platform Services Controller ein benutzerdefiniertes Zertifikat verwenden, sind Sie nicht zur Verwendung eines benutzerdefinierten Zertifikats für Site Recovery Manager verpflichtet, und umgekehrt.

  • Der private Schlüssel in der PKCS #12-Datei muss mit dem Zertifikat übereinstimmen. Die Mindestlänge des privaten Schlüssels beträgt 2048 Bit.

  • Das Kennwort für das Site Recovery Manager-Zertifikat darf nicht mehr als 31 Zeichen umfassen.

  • Der aktuelle Zeitpunkt muss innerhalb des Gültigkeitszeitraums des Zertifikats liegen.

  • Das Zertifikat muss ein Server-Zertifikat sein, für das die erweiterte Schlüsselverwendung x509v3 die TLS-Webserver-Authentifizierung anzeigen muss.

    • Das Zertifikat muss ein extendedKeyUsage- oder enhancedKeyUsage-Attribut enthalten, dessen Wert serverAuth beträgt.

    • Anders als in früheren Versionen muss das Zertifikat nicht zugleich ein Clientzertifikat sein. Der clientAuth-Wert ist nicht erforderlich.

  • Der Betreffname darf nicht leer bleiben und muss weniger als 4096 Zeichen enthalten. In dieser Version muss der Betreffname nicht für beide Mitglieder eines Site Recovery Manager Server-Paares gleich sein.

  • Das Zertifikat muss den Site Recovery Manager Server-Host identifizieren.

    • Es wird empfohlen, den Site Recovery Manager Server-Host mit seinem vollqualifizierten Domänennamen (FQDN) zu identifizieren. Wenn das Zertifikat den Site Recovery Manager Server-Host mit einer IP-Adresse identifiziert, muss es eine IPv4-Adresse sein. Die Verwendung von IPv6-Adressen zur Identifizierung des Hosts wird nicht unterstützt.

    • Zertifikate identifizieren den Host üblicherweise über das Attribut des alternativen Betreffnamens (SAN-Attribut). Einige Zertifizierungsstellen geben Zertifikate aus, die den Host über den Wert des allgemeinen Namens des Betreffnamen-Attributs identifizieren. Site Recovery Manager akzeptiert Zertifikate, die den Host über den Wert des allgemeinen Namens identifizieren, dies zählt jedoch nicht zu den Best Practices. Informationen zu den Best Practices hinsichtlich des alternativen Betreffnamens und des allgemeinen Namens finden Sie bei der Internet Engineering Task Force (IETF) „RFC 6125“ unter https://tools.ietf.org/html/rfc6125.

    • Der Hostbezeichner des Zertifikats muss mit der lokalen Hostadresse von Site Recovery Manager Server übereinstimmen, die Sie angeben, wenn Sie Site Recovery Manager installieren.

  • Wenn Site Recovery Manager Server, vCenter Server und Platform Services Controller auf der gleichen Hostmaschine ausgeführt werden,können Sie das gleiche Zertifikat für sowohl Site Recovery Manager Server als auch Platform Services Controller verwenden. In diesem Fall müssen Sie das Zertifikat in zwei Formaten angeben:

    • Bei Site Recovery Manager muss das Zertifikat ein PKCS#12-Zertifikat sein, das sowohl private als auch öffentliche Schlüssel enthält.

    • Bei vCenter Server und Platform Services Controller muss das Zertifikat in zwei Dateien aufgeteilt werden, eine für das Zertifikat mit dem öffentlichen Schlüssel und eine für den privaten Schlüssel.

  • Wenn Sie ein benutzerdefiniertes Zertifikat verwenden, das durch eine Zertifizierungsstelle eines Drittanbieters signiert wurde, für die das Stammzertifikat nicht standardmäßig bei Windows registriert wird, und wenn Sie wollen, dass die Zertifikate ohne eine Fingerabdruck-Verifizierung vertrauenswürdig sind, installieren Sie das Zertifikat der Stamm-Zertifizierungsstelle im Windows-Zertifikatsspeicher.