Si vous avez installé des certificats SSL émis par une autorité de certification approuvée sur vCenter Serverqui prend en charge Site Recovery Manager, les certificats que vous créez pour être utilisés par Site Recovery Manager doivent remplir des critères spécifiques.
Important : Les autorités de certification publiques ont cessé d'émettre des certificats SSL/TLS contenant des noms de serveur interne ou des adresses IP réservées en novembre 2015. Elles refuseront les certificats SSL/TLS contenant des noms de serveur interne ou des adresses IP réservées le 1er octobre 2016. Pour minimiser les perturbations, si vous utilisez des certificats SSL/TLS contenant des noms de serveur interne ou des adresses IP réservées, procurez-vous de nouveaux certificats conformes auprès d’une autorité de certification privée avant le 1er octobre 2016.
- Pour plus d'informations sur la désapprobation des noms de serveur interne ou des adresses IP réservées, accédez à l'adresse https://cabforum.org/internal-names/.
- Pour plus d'informations sur les conséquences de la désapprobation des noms de serveur interne ou des adresses IP réservées sur les produits VMware, accédez à l'adresse http://kb.vmware.com/kb/2134735.
Bien que Site Recovery Manager utilise un certificat standard PKCS#12 pour l'authentification, il impose quelques conditions spécifiques au contenu de certains champs de ces certificats. Ces conditions s'appliquent aux certificats utilisés par les deux membres d'une paire Serveur Site Recovery Manager.
- Les certificats doivent disposer d'une valeur Nom du sujet, qui doit être identique pour les deux membres de la paire Site Recovery Manager. La valeur Nom du sujet peut être construite à partir des composants suivants.
- Attribut de nom commun. Une chaîne telle que SRM est appropriée ici. L'attribut CN (nom commun) est obligatoire.
- Attribut Organisation et attribut Unité d'organisation. Les attributs O (organisation) et OU (unité d'organisation) sont obligatoires.
- D'autres attributs tels que les attributs L (localité), S (état) et C (pays), entre autres, sont autorisés, mais ne sont pas obligatoires. Si vous spécifiez l'un de ces attributs, les valeurs doivent être identiques pour les deux membres de la paire Site Recovery Manager.
- Le certificat utilisé par chaque membre d'une paire Serveur Site Recovery Manager doit inclure un attribut Nom de remplacement du sujet dont la valeur est le nom de domaine complet de l'hôte Serveur Site Recovery Manager. Cette valeur sera différente pour chaque membre de la paire Serveur Site Recovery Manager. Étant donné que ce nom fait l'objet d'une comparaison de casse, utilisez les minuscules lors de la spécification du nom durant l'installation de Site Recovery Manager.
- Si vous utilisez une autorité de certification OpenSSL, modifiez le fichier de configuration OpenSSL de façon à inclure une ligne telle que la suivante, si le nom de domaine complet de l'hôte de Serveur Site Recovery Manager est srm1.example.com :
subjectAltName = DNS: srm1.example.com
- Si vous utilisez une autorité de certification Microsoft, voir http://support.microsoft.com/kb/931351 pour plus d'informations sur la définition de l'Autre nom de l'objet.
- Si vous utilisez une autorité de certification OpenSSL, modifiez le fichier de configuration OpenSSL de façon à inclure une ligne telle que la suivante, si le nom de domaine complet de l'hôte de Serveur Site Recovery Manager est srm1.example.com :
- Si Serveur Site Recovery Manager et vCenter Server s'exécutent sur la même machine hôte, vous devez fournir deux certificats, un pour Site Recovery Manager et un autre pour vCenter Server. L'attribut Nom alternatif du sujet de chaque certificat doit être défini sur le nom de domaine complet de l'ordinateur hôte. Par conséquent, sous l'angle de la sécurité, il est préférable d'exécuter Serveur Site Recovery Manager et vCenter Server sur des machines hôtes différentes.
- Le certificat utilisé par chaque membre d'une paire Serveur Site Recovery Manager doit inclure un attribut extendedKeyUsage ou enhancedKeyUsage dont la valeur est
serverAuth, clientAuth. Si vous utilisez un CA openssl, modifiez le fichier de configuration openssl de façon à inclure une ligne telle que la suivante :extendedKeyUsage = serverAuth, clientAuth
- Le mot de passe du certificat de Site Recovery Manager ne doit pas dépasser 31 caractères.
- La clé du certificat de Site Recovery Manager doit avoir une longueur minimale de 2 048 bits.
- Site Recovery Manager accepte les certificats comportant des algorithmes de signature MD5RSA et SHA1RSA, mais ceux-ci ne sont pas recommandés. Il est préférable d'utiliser au minimum des algorithmes de signature SHA256RSA.
