Wenn Sie eine Verifizierung der Zertifikatsgültigkeit erzwingen, indem Sie vSphere Replication zur ausschließlichen Aufnahme von SSL-Zertifikaten aktivieren, die von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden, müssen bestimmte Felder der Zertifikatsanforderung bestimmte Anforderungen erfüllen.

vSphere Replication kann nur Zertifikate und private Schlüssel importieren und verwenden, die aus einer Datei im PKCS#12-Format stammen. Gelegentlich weisen die Dateien eine .pfx-Erweiterung auf.

  • Der Servername des ausgestellten Zertifikats muss mit dem Wert in der Einstellung Lokaler Host in der VRMS Appliance Management Interface identisch sein. Die entsprechende Einrichtung des Zertifikatsinhabernamens reicht aus, wenn Sie in der Einstellung Lokaler Host einen Hostnamen angeben oder wenn alle SAN-Zertifikatsfelder (Subject Alternative Name) des Zertifikats der Einstellung Lokaler Host entsprechen.
  • vSphere Replication prüft das Ausstellungs- und Ablaufdatum des Zertifikats anhand des aktuellen Datums, um sicherzustellen, dass das Zertifikat nicht abgelaufen ist.
  • Wenn Sie eine eigene Zertifizierungsstelle nutzen, beispielsweise eine, die Sie mit den OpenSSL-Tools erstellen und verwalten, müssen Sie den vollqualifizierten Domänennamen oder die IP-Adresse zur OpenSSL-Konfigurationsdatei hinzufügen.
    • Wenn der vollqualifizierte Domänenname der Appliance VR1.example.com lautet, fügen Sie subjectAltName = DNS: VR1.example.com zur OpenSSL-Konfigurationsdatei hinzu.
    • Wenn Sie die IP-Adresse der Appliance verwenden, fügen Sie subjectAltName = IP: vr-appliance-ip-address zur OpenSSL-Konfigurationsdatei hinzu.
  • vSphere Replication benötigt eine Vertrauenskette zu einer bekannten Stammzertifizierungsstelle. vSphere Replication vertraut allen Zertifizierungsstellen, denen die Java Virtual Machine vertraut. Zudem können Sie zusätzliche, vertrauensvolle CA-Zertifikate manuell nach /opt/vmware/hms/security/hms-truststore.jks auf der vSphere Replication-Appliance importieren.
  • vSphere Replication akzeptiert MD5-, SHA1- und SHA256-Signaturen. Die Verwendung von SHA156-Signaturen wird empfohlen.
  • vSphere Replication akzeptiert keine RSA- oder DSA-Zertifikate mit 512-Bit-Schlüsseln. vSphere Replication benötigt Schlüssel mit mindestens 1024 Bit. Die Verwendung öffentlicher 2048-Bit-Schlüssel wird empfohlen.