Wenn Sie benutzerdefinierte SSL/TLS-Zertifikate für das Server-Endpointpunkt-Zertifikat von Site Recovery Manager verwenden, müssen die Zertifikate bestimmte Anforderungen erfüllen.
Site Recovery Manager 8.x verwendet Standard-PKCS#12-Zertifikate. Site Recovery Manager Stellt einige Anforderungen an die Inhalte dieser Zertifikate.
- Site Recovery Manager akzeptiert keine Zertifikate mit MD5-Signaturalgorithmen. Sie sollten SHA256 oder stärkere Signaturalgorithmen verwenden.
- Standardmäßig akzeptiert Site Recovery Manager keine Zertifikate mit SHA-1-Signaturalgorithmen. Sie sollten SHA256 oder stärkere Signaturalgorithmen verwenden.
- Das Site Recovery Manager-Zertifikat ist nicht der Stamm einer Vertrauenskette. Sie können ein das Zertifikat einer Zwischenzertifizierungsstelle verwenden, bei welchem es sich nicht um den Stamm einer Vertrauenskette, aber dennoch um ein Zertifikat einer Zertifizierungsstelle handelt.
- Wenn Sie für vCenter Server ein benutzerdefiniertes Zertifikat verwenden, sind Sie nicht zur Verwendung eines benutzerdefinierten Zertifikats für Site Recovery Manager verpflichtet. Der umgekehrte Fall trifft auch zu.
- Der private Schlüssel in der PKCS #12-Datei muss mit dem Zertifikat übereinstimmen. Die Mindestlänge des privaten Schlüssels beträgt 2048 Bit.
- Das Kennwort für das Site Recovery Manager-Zertifikat darf nicht mehr als 31 Zeichen umfassen.
- Der aktuelle Zeitpunkt muss innerhalb des Gültigkeitszeitraums des Zertifikats liegen.
- Das Zertifikat muss ein Server-Zertifikat sein, für das die erweiterte Schlüsselverwendung x509v3 die TLS-Webserver-Authentifizierung anzeigen muss.
- Das Zertifikat muss ein
extendedKeyUsage
- oderenhancedKeyUsage
-Attribut enthalten, dessen WertserverAuth
beträgt. - Das Zertifikat muss nicht zugleich ein Clientzertifikat sein. Der
clientAuth
-Wert ist nicht erforderlich.
- Das Zertifikat muss ein
- Der Betreffname darf nicht leer bleiben und muss weniger als 4096 Zeichen enthalten. In dieser Version muss der Subjektname nicht für beide Mitglieder eines Site Recovery Manager Server-Paares identisch sein.
- Das Zertifikat muss den Site Recovery Manager Server-Host identifizieren.
- Es wird empfohlen, den Site Recovery Manager Server-Host mit seinem vollqualifizierten Domänennamen (FQDN) zu identifizieren. Wenn das Zertifikat den Site Recovery Manager Server-Host mit einer IP-Adresse identifiziert, muss es eine IPv4-Adresse sein. Die Verwendung von IPv6-Adressen zur Identifizierung des Hosts wird nicht unterstützt.
- Zertifikate identifizieren den Host üblicherweise über das Attribut des alternativen Betreffnamens (SAN-Attribut). Einige Zertifizierungsstellen geben Zertifikate aus, die den Host über den Wert des allgemeinen Namens des Betreffnamen-Attributs identifizieren. Site Recovery Manager akzeptiert Zertifikate, die den Host über den Wert des allgemeinen Namens identifizieren, dies zählt jedoch nicht zu den Best Practices. Informationen zu den Best Practices hinsichtlich SAN und CN finden Sie bei der Internet Engineering Task Force (IETF) „RFC 6125“ unter https://tools.ietf.org/html/rfc6125.
- Der Hostbezeichner des Zertifikats muss mit der lokalen Hostadresse von Site Recovery Manager Server übereinstimmen, die Sie angeben, wenn Sie Site Recovery Manager installieren.
- Wenn Site Recovery Manager Server und vCenter Server auf der gleichen Hostmaschine ausgeführt werden,können Sie das gleiche Zertifikat für beide Server verwenden. In diesem Fall müssen Sie das Zertifikat in zwei Formaten angeben:
- Bei Site Recovery Manager muss das Zertifikat ein PKCS#12-Zertifikat sein, das sowohl private als auch öffentliche Schlüssel enthält.
- Bei vCenter Server muss das Zertifikat in zwei Dateien aufgeteilt werden, eine für das Zertifikat mit dem öffentlichen Schlüssel und eine für den privaten Schlüssel. Weitere Informationen zu den Zertifikatsanforderungen für vCenter Server finden Sie unter vSphere-Sicherheitszertifikate in der vSphere 7.0-Dokumentation.