Wenn Sie benutzerdefinierte SSL/TLS-Zertifikate für das Server-Endpointpunkt-Zertifikat von Site Recovery Manager verwenden, müssen die Zertifikate bestimmte Anforderungen erfüllen.

Wichtig:

Öffentliche Zertifizierungsstellen (CAs) stoppten im November 2015 das Ausstellen von SSL/TLS-Zertifikaten, die interne Servernamen oder reservierte IP-Adressen enthalten. Zertifizierungsstellen widerrufen ab 1. Oktober 2016 SSL/TLS-Zertifikate, die interne Servernamen oder reservierte IP-Adressen enthalten. Wenn Sie SSL/TLS-Zertifikate verwenden, die interne Servernamen oder reservierte IP-Adressen enthalten, besorgen Sie sich vor dem 1. Oktober 2016 neue, kompatible Zertifikate von Ihrer öffentlichen Zertifizierungsstelle, um zukünftige Störungen zu vermeiden. Alternativ können Sie sich zum Ausstellen von Zertifikaten auch an eine private Zertifizierungsstelle wenden.

Site Recovery Manager 6.x verwendet Standard-PKCS#12-Zertifikate. Site Recovery Manager stellt einige Anforderungen an die Inhalte dieser Zertifikate, aber die Anforderungen in dieser Version sind weniger streng als in den 5.x-Versionen von Site Recovery Manager.

  • Site Recovery Manager akzeptiert keine Zertifikate mit MD5-Signaturalgorithmen. Sie sollten SHA256 oder stärkere Signaturalgorithmen verwenden.

  • Site Recovery Manager akzeptiert Zertifikate mit SHA1-Signaturalgorithmen, aber diese werden nicht empfohlen und führen während der Installation zu einer Warnung. Sie sollten SHA256 oder stärkere Signaturalgorithmen verwenden.

  • Das Site Recovery Manager-Zertifikat ist nicht der Stamm einer Vertrauenskette. Sie können ein das Zertifikat einer Zwischenzertifizierungsstelle verwenden, bei welchem es sich nicht um den Stamm einer Vertrauenskette, aber dennoch um ein Zertifikat einer Zertifizierungsstelle handelt.

  • Wenn Sie für vCenter Server und Platform Services Controller ein benutzerdefiniertes Zertifikat verwenden, sind Sie nicht zur Verwendung eines benutzerdefinierten Zertifikats für Site Recovery Manager verpflichtet. Der umgekehrte Fall trifft auch zu.

  • Der private Schlüssel in der PKCS #12-Datei muss mit dem Zertifikat übereinstimmen. Die Mindestlänge des privaten Schlüssels beträgt 2048 Bit.

  • Das Kennwort für das Site Recovery Manager-Zertifikat darf nicht mehr als 31 Zeichen umfassen.

  • Der aktuelle Zeitpunkt muss innerhalb des Gültigkeitszeitraums des Zertifikats liegen.

  • Das Zertifikat muss ein Server-Zertifikat sein, für das die erweiterte Schlüsselverwendung x509v3 die TLS-Webserver-Authentifizierung anzeigen muss.

    • Das Zertifikat muss ein extendedKeyUsage- oder enhancedKeyUsage-Attribut enthalten, dessen Wert serverAuth beträgt.

    • Anders als in 5.x-Versionen muss das Zertifikat nicht zugleich ein Clientzertifikat sein. Der clientAuth-Wert ist nicht erforderlich.

  • Der Betreffname darf nicht leer bleiben und muss weniger als 4096 Zeichen enthalten. In dieser Version muss der Betreffname nicht für beide Mitglieder eines Site Recovery Manager Server-Paares gleich sein.

  • Das Zertifikat muss den Site Recovery Manager Server-Host identifizieren.

    • Es wird empfohlen, den Site Recovery Manager Server-Host mit seinem vollqualifizierten Domänennamen (FQDN) zu identifizieren. Wenn das Zertifikat den Site Recovery Manager Server-Host mit einer IP-Adresse identifiziert, muss es eine IPv4-Adresse sein. Die Verwendung von IPv6-Adressen zur Identifizierung des Hosts wird nicht unterstützt.

    • Zertifikate identifizieren den Host üblicherweise über das Attribut des alternativen Betreffnamens (SAN-Attribut). Einige Zertifizierungsstellen geben Zertifikate aus, die den Host über den Wert des allgemeinen Namens des Betreffnamen-Attributs identifizieren. Site Recovery Manager akzeptiert Zertifikate, die den Host über den Wert des allgemeinen Namens identifizieren, dies zählt jedoch nicht zu den Best Practices. Informationen zu den Best Practices hinsichtlich des alternativen Betreffnamens und des allgemeinen Namens finden Sie bei der Internet Engineering Task Force (IETF) „RFC 6125“ unter https://tools.ietf.org/html/rfc6125.

    • Der Hostbezeichner des Zertifikats muss mit der lokalen Hostadresse von Site Recovery Manager Server übereinstimmen, die Sie angeben, wenn Sie Site Recovery Manager installieren.

  • Wenn Site Recovery Manager Server, vCenter Server und Platform Services Controller auf der gleichen Hostmaschine ausgeführt werden,können Sie dasselbe Zertifikat für alle drei Server verwenden. In diesem Fall müssen Sie das Zertifikat in zwei Formaten angeben:

    • Bei Site Recovery Manager muss das Zertifikat ein PKCS#12-Zertifikat sein, das sowohl private als auch öffentliche Schlüssel enthält.

    • Bei vCenter Server und Platform Services Controller muss das Zertifikat in zwei Dateien aufgeteilt werden, eine für das Zertifikat mit dem öffentlichen Schlüssel und eine für den privaten Schlüssel. Weitere Informationen zu den Zertifikatsanforderungen für vCenter Server und Platform Services Controller finden Sie unter vSphere-Sicherheitszertifikate in der vSphere 6.5-Dokumentation.

  • Wenn Sie ein benutzerdefiniertes Zertifikat verwenden, das durch eine Zertifizierungsstelle eines Drittanbieters signiert wurde, für die das Stammzertifikat nicht standardmäßig bei Windows registriert wird, und wenn Sie wollen, dass die Zertifikate ohne eine Fingerabdruck-Verifizierung vertrauenswürdig sind, installieren Sie das Zertifikat der Stamm-Zertifizierungsstelle im Windows-Zertifikatsspeicher.