VMware Live Site Recovery 9.x usa certificados de PKCS#12 estándar. VMware Live Site Recovery impone algunos requisitos en el contenido de dichos certificados.

• VMware Live Site Recovery no acepta certificados con algoritmos de firma MD5. Use el algoritmo SHA256 o algoritmos de firma más potentes.
• De forma predeterminada, VMware Live Site Recovery acepta certificados con algoritmos de firma SHA-1. Use el algoritmo SHA256 o algoritmos de firma más potentes.
• El certificado de VMware Live Site Recovery no es la raíz de una cadena de confianza. Puede usar un certificado CA intermedio que no sea la raíz de una cadena de confianza, pero que siga siendo un certificado CA.
• Si usa un certificado personalizado para vCenter Server no está obligado a usar un certificado personalizado para VMware Live Site Recovery. Lo mismo sucede en sentido inverso.
• La clave privada en el archivo PKCS #12 debe coincidir con el certificado. La longitud mínima de la clave privada es de 2048 bits.
• La contraseña del certificado de VMware Live Site Recovery no debe superar los 31 caracteres.
• El tiempo actual debe estar dentro del período de validez del certificado.
• El certificado debe ser un certificado de servidor, para el cual el Uso mejorado de clave x509v3 debe indicar la autenticación de servidor web de TLS.
  • El certificado debe incluir un atributo extendedKeyUsage o enhancedKeyUsage, cuyo valor es serverAuth.
  • No existe un requisito que establezca que el certificado también debe ser un certificado de cliente. El valor de clientAuth no es obligatorio.
• Subject Name (Nombre del firmante) no debe estar vacío y debe contener menos de 4096 caracteres. En esta versión, no es necesario usar el mismo nombre de asunto para los dos miembros de los pares de servidores de VMware Live Site Recovery Server.
• El certificado debe identificar al host de VMware Live Site Recovery Server.
  • La forma recomendada de identificar al host de VMware Live Site Recovery Server es mediante el nombre de dominio completo (fully-qualified domain name, FQDN) del host. Si el certificado identifica al host de VMware Live Site Recovery Server con una dirección IP, debe ser una dirección IPv4. No se admite el uso de direcciones IPv6 para identificar al host.
  • Los certificados generalmente identifican al host en el atributo Subject Alternative Name (SAN, nombre alternativo del firmante). Algunas entidades de certificación emiten certificados que identifican al host en el valor Common Name (CN, nombre común) del atributo Subject Name (Nombre del firmante). VMware Live Site Recovery acepta certificados que identifican al host en el valor CN, pero esta no es la práctica recomendada. Para obtener información sobre las prácticas recomendadas de SAN y CN, consulte el estándar RFC 6125 del Grupo de Trabajo de Ingeniería de Internet (IETF, Internet Engineering Task Force) en https://tools.ietf.org/html/rfc6125.
  • El identificador de hosts en el certificado debe coincidir con la dirección del host local de VMware Live Site Recovery Server que especificó al instalar VMware Live Site Recovery.