Wenn Sie durch Auswahl der Option Nur von einer vertrauenswürdigen Zertifizierungsstelle signiertes SSL-Zertifikat annehmen im Virtual Appliance Management Interface (VAMI) der vSphere Replication-Appliance das Verifizieren der Zertifikatsgültigkeit erzwingen, müssen einige Felder der Zertifikatsanforderung bestimmte Anforderungen erfüllen.

vSphere Replication kann nur Zertifikate und private Schlüssel importieren und verwenden, die aus einer Datei im PKCS#12-Format stammen. Manchmal weisen die Dateien eine .pfx-Erweiterung auf.

  • Der Servername des ausgestellten Zertifikats muss mit dem Wert der VRM-Host-Einstellung in VAMI identisch sein. Ein entsprechendes Festlegen des Objektnamens des Zertifikats ist ausreichend, wenn Sie einen Hostnamen als Wert für die VRM-Host-Einstellung angeben. Wenn die Angabe in einem der Felder „Subject Alternative Name“ des Zertifikats mit der VRM-Host-Einstellung identisch ist, funktioniert dies auch.

  • vSphere Replication prüft das Ausstellungs- und das Ablaufdatum des Zertifikats anhand des aktuellen Datums, um sicherzustellen, dass das Zertifikat nicht abgelaufen ist.

  • Wenn Sie eine eigene Zertifizierungsstelle nutzen, beispielsweise eine, die Sie mit den OpenSSL-Tools erstellen und verwalten, müssen Sie den vollqualifizierten Domänennamen oder die IP-Adresse zur OpenSSL-Konfigurationsdatei hinzufügen.

    • Wenn z. B. der vollqualifizierte Domänenname der Appliance VR1.example.com lautet, fügen Sie subjectAltName = DNS: VR1.example.com zur OpenSSL-Konfigurationsdatei hinzu.

    • Wenn Sie die IP-Adresse der Appliance verwenden, fügen Sie subjectAltName = IP: IP-Adresse_der_VR-Appliance zur OpenSSL-Konfigurationsdatei hinzu.

  • vSphere Replication benötigt eine Vertrauenskette auf eine bekannte Zertifizierungsstelle. vSphere Replication vertraut allen Zertifizierungsstellen, denen die Java Virtual Machine vertraut. Zudem können Sie zusätzliche, vertrauensvolle CA-Zertifikate manuell nach /opt/vmware/hms/security/hms-truststore.jks auf der vSphere Replication-Appliance importieren.

  • vSphere Replication akzeptiert MD5- und SHA1-Signaturen, doch empfiehlt VMware die Verwendung von SHA256-Signaturen.

  • vSphere Replication akzeptiert keine RSA- oder DSA-Zertifikate mit 512-Bit-Schlüsseln. Für vSphere Replication sind mindestens 1024-Bit-Schlüssel erforderlich. VMware empfiehlt die Verwendung von öffentlichen 2048-Bit-Schlüsseln. vSphere Replication gibt bei Verwendung eines 1024-Bit-Schlüssels eine Warnung aus.