Si usa certificados de SSL/TLS personalizados para el certificado de endpoint del servidor de Site Recovery Manager, los certificados deben cumplir con criterios específicos.

Site Recovery Manager 8.x usa certificados de PKCS#12 estándar. Site Recovery Manager impone algunos requisitos en el contenido de dichos certificados.

  • Site Recovery Manager no acepta certificados con algoritmos de firma MD5. Use el algoritmo SHA256 o algoritmos de firma más potentes.
  • De forma predeterminada, Site Recovery Manager acepta certificados con algoritmos de firma SHA-1. Use el algoritmo SHA256 o algoritmos de firma más potentes.
  • El certificado de Site Recovery Manager no es la raíz de una cadena de confianza. Puede usar un certificado CA intermedio que no sea la raíz de una cadena de confianza, pero que siga siendo un certificado CA.
  • Si usa un certificado personalizado para vCenter Server no está obligado a usar un certificado personalizado para Site Recovery Manager. Lo mismo sucede en sentido inverso.
  • La clave privada en el archivo PKCS #12 debe coincidir con el certificado. La longitud mínima de la clave privada es de 2048 bits.
  • La contraseña del certificado de Site Recovery Manager no debe superar los 31 caracteres.
  • El tiempo actual debe estar dentro del período de validez del certificado.
  • El certificado debe ser un certificado de servidor, para el cual el Uso mejorado de clave x509v3 debe indicar la autenticación de servidor web de TLS.
    • El certificado debe incluir un atributo extendedKeyUsage o enhancedKeyUsage, cuyo valor es serverAuth.
    • No existe un requisito que establezca que el certificado también debe ser un certificado de cliente. El valor de clientAuth no es obligatorio.
  • Subject Name (Nombre del firmante) no debe estar vacío y debe contener menos de 4096 caracteres. En esta versión, no es necesario usar el mismo nombre de asunto para los dos miembros de los pares de servidores de Site Recovery Manager Server.
  • El certificado debe identificar al host de Site Recovery Manager Server.
    • La forma recomendada de identificar al host de Site Recovery Manager Server es mediante el nombre de dominio completo (fully-qualified domain name, FQDN) del host. Si el certificado identifica al host de Site Recovery Manager Server con una dirección IP, debe ser una dirección IPv4. No se admite el uso de direcciones IPv6 para identificar al host.
    • Los certificados generalmente identifican al host en el atributo Subject Alternative Name (SAN, nombre alternativo del firmante). Algunas entidades de certificación emiten certificados que identifican al host en el valor Common Name (CN, nombre común) del atributo Subject Name (Nombre del firmante). Site Recovery Manager acepta certificados que identifican al host en el valor CN, pero esta no es la práctica recomendada. Para obtener información sobre las prácticas recomendadas de SAN y CN, consulte el estándar RFC 6125 del Grupo de Trabajo de Ingeniería de Internet (IETF, Internet Engineering Task Force) en https://tools.ietf.org/html/rfc6125.
    • El identificador de hosts en el certificado debe coincidir con la dirección del host local de Site Recovery Manager Server que especificó al instalar Site Recovery Manager.
  • Si Site Recovery Manager Server y vCenter Server se ejecutan en la misma máquina host, puede usar el mismo certificado para ambos servidores. En este caso, debe proporcionar el certificado en dos formatos:
    • Para Site Recovery Manager, el certificado debe ser un Certificado de formato de intercambio de información personal (PKCS#12) que contenga tanto las claves privadas como públicas.
    • Para vCenter Server, el certificado debe estar separado en dos archivos, uno para el certificado con la clave pública y otro para la clave privada. Para obtener información acerca de los requisitos de certificado para vCenter Server, consulte vSphere Security Certificates (Certificados de seguridad de vSphere) en la documentación de vSphere 7.0.