Si usa certificados de SSL/TLS personalizados para el certificado de endpoint del servidor de Site Recovery Manager, los certificados deben cumplir con criterios específicos.

Importante:

Las entidades de certificación (CA) públicas dejaron de emitir certificados SSL/TLS que incluyen nombres de servidor internos o direcciones IP reservadas en noviembre de 2015. Las CA revocarán los certificados SSL/TLS que contengan nombres de servidor internos o direcciones IP reservadas el 1 de octubre de 2016. Para minimizar las interrupciones en el futuro, si utiliza certificados SSL/TLS que contienen nombres de servidor internos o direcciones IP reservadas, obtenga nuevos certificados conformes de su CA pública antes del 1 de octubre de 2016. Como alternativa, utilice una CA privada para emitir los certificados.

  • Para obtener información sobre el desuso de los nombres de servidor internos y las direcciones IP reservadas, consulte https://cabforum.org/internal-names/.

  • Para obtener información sobre cómo el desuso de los nombres de servidor internos y las direcciones IP reservadas afecta a los productos de VMware, consulte http://kb.vmware.com/kb/2134735.

Site Recovery Manager 6.x usa certificados de PKCS#12 estándar. Site Recovery Manager establece algunos requisitos para el contenido de dichos certificados, pero los requisitos en esta versión son menos estrictos que en las versiones 5.x de Site Recovery Manager

  • Site Recovery Manager no acepta certificados con algoritmos de firma MD5. Use el algoritmo SHA256 o algoritmos de firma más potentes.

  • Site Recovery Manager acepta certificados con algoritmos de firma SHA1, pero no se los recomienda, y derivan en una advertencia durante la instalación. Use el algoritmo SHA256 o algoritmos de firma más potentes.

  • El certificado de Site Recovery Manager no es la raíz de una cadena de confianza. Puede usar un certificado CA intermedio que no sea la raíz de una cadena de confianza, pero que siga siendo un certificado CA.

  • Si usa un certificado personalizado para vCenter Server y Platform Services Controller, no está obligado a usar un certificado personalizado para Site Recovery Manager. Lo mismo sucede en sentido inverso.

  • La clave privada en el archivo PKCS #12 debe coincidir con el certificado. La longitud mínima de la clave privada es de 2048 bits.

  • La contraseña del certificado de Site Recovery Manager no debe superar los 31 caracteres.

  • El tiempo actual debe estar dentro del período de validez del certificado.

  • El certificado debe ser un certificado de servidor, para el cual el Uso mejorado de clave x509v3 debe indicar la autenticación de servidor web de TLS.

    • El certificado debe incluir un atributo extendedKeyUsage o enhancedKeyUsage, cuyo valor es serverAuth.

    • A diferencia de las versiones 5.x, no existe un requisito que establezca que el certificado también debe ser un certificado de cliente. El valor de clientAuth no es obligatorio.

  • Subject Name (Nombre del firmante) no debe estar vacío y debe contener menos de 4096 caracteres. En esta versión, el nombre del firmante no tiene que ser el mismo para ambos miembros de un par de Site Recovery Manager Server.

  • El certificado debe identificar al host de Site Recovery Manager Server.

    • La forma recomendada de identificar al host de Site Recovery Manager Server es mediante el nombre de dominio completo (fully-qualified domain name, FQDN) del host. Si el certificado identifica al host de Site Recovery Manager Server con una dirección IP, debe ser una dirección IPv4. No se admite el uso de direcciones IPv6 para identificar al host.

    • Los certificados generalmente identifican al host en el atributo Subject Alternative Name (SAN, nombre alternativo del firmante). Algunas entidades de certificación emiten certificados que identifican al host en el valor Common Name (CN, nombre común) del atributo Subject Name (Nombre del firmante). Site Recovery Manager acepta certificados que identifican al host en el valor CN, pero esta no es la práctica recomendada. Para obtener información acerca de las prácticas recomendadas de SAN y CN, consulte el estándar RFC 6125 del Grupo de Trabajo de Ingeniería de Internet (IETF, Internet Engineering Task Force) en https://tools.ietf.org/html/rfc6125.

    • El identificador de hosts en el certificado debe coincidir con la dirección del host local de Site Recovery Manager Server que especificó al instalar Site Recovery Manager.

  • Si Site Recovery Manager Server, vCenter Server y Platform Services Controller ejecutan la misma máquina host, puede usar el mismo certificado para los tres servidores. En este caso, debe proporcionar el certificado en dos formatos:

    • Para Site Recovery Manager, el certificado debe ser un Certificado de formato de intercambio de información personal (PKCS#12) que contenga tanto las claves privadas como públicas.

    • Para vCenter Server y Platform Services Controller, el certificado debe estar separado en dos archivos, uno para el certificado con la clave pública y otro para la clave privada. Para obtener información acerca de los requisitos de certificado para vCenter Server y Platform Services Controller, consulte vSphere Security Certificates (Certificados de seguridad de vSphere) en la documentación de vSphere 6.5.

  • Si usa un certificado personalizado que está firmado por una entidad de certificación externa para la cual el certificado raíz no está registrado de forma predeterminada en Windows, y quiere que los certificados sean de confianza sin la necesidad de verificaciones de huellas, instale el certificado CA raíz en el almacén de certificados de Windows.