Si vous utilisez des certificats SSL/TLS personnalisés pour le certificat de point de terminaison du serveur Site Recovery Manager, les certificats doivent répondre à des critères spécifiques.

Important :

Les autorités de certification publiques ont cessé d'émettre des certificats SSL/TLS contenant des noms de serveur interne ou des adresses IP réservées en novembre 2015. Elles refuseront les certificats SSL/TLS contenant des noms de serveur interne ou des adresses IP réservées le 1er octobre 2016. Pour minimiser les perturbations, si vous utilisez des certificats SSL/TLS contenant des noms de serveur interne ou des adresses IP réservées, procurez-vous de nouveaux certificats conformes auprès de votre autorité de certification publique avant le 1er octobre 2016. Vous pouvez également faire appel à une autorité de certification privée pour l'émission de certificats.

  • Pour plus d'informations sur la désapprobation des noms de serveur interne ou des adresses IP réservées, accédez à l'adresse https://cabforum.org/internal-names/.

  • Pour plus d'informations sur les conséquences de la désapprobation des noms de serveur interne ou des adresses IP réservées sur les produits VMware, accédez à l'adresse http://kb.vmware.com/kb/2134735.

Site Recovery Manager utilise des certificats PKCS#12 standard. Site Recovery Manager implique certaines conditions concernant le contenu de ces certificats, mais les conditions de cette version sont moins strictes que dans les versions précédentes de Site Recovery Manager.

  • Site Recovery Manager n'accepte pas les certificats avec des algorithmes de signature MD5. Il est préférable d'utiliser au minimum des algorithmes de signature SHA256. Si vous mettez à niveau une installation existante de Site Recovery Manager avec laquelle vous utilisez les certificats MD5, vous devez obtenir un nouveau certificat avec un algorithme de signature plus fort avant d'effectuer une mise à niveau de Site Recovery Manager.

  • Site Recovery Manager accepte des certificats avec des algorithmes de signature SHA1 mais ceux-ci ne sont pas recommandés et génèrent un avertissement lors de l'installation. Il est préférable d'utiliser au minimum des algorithmes de signature SHA256.

  • Le certificat Site Recovery Manager n'est pas la racine d'une chaîne d'approbation. Ce certificat ne peut pas être un certificat d'autorité de certification.

  • Si vous utilisez un certificat personnalisé pour vCenter Server et Platform Services Controller, vous n'êtes pas obligés d'utiliser un certificat personnalisé pour Site Recovery Manager, et inversement.

  • La clé privée du fichier PKCS #12 doit correspondre au certificat. La longueur minimale de la clé privée est 2 048 bits.

  • Le mot de passe du certificat de Site Recovery Manager ne doit pas dépasser 31 caractères.

  • L'heure actuelle doit être comprise dans la période de validité du certificat.

  • Le certificat doit être un certificat de serveur, pour lequel l'utilisation étendue de la clé x509v3 doit indiquer l'authentification du serveur Web TLS.

    • Le certificat doit inclure un attribut extendedKeyUsage ou enhancedKeyUsage, dont la valeur est serverAuth.

    • Contrairement aux versions précédentes, le certificat ne doit pas obligatoirement être un certificat client. La valeur clientAuth n'est pas obligatoire.

  • Le nom du sujet ne doit pas être vide et doit contenir moins de 4 096 caractères. Dans cette version, le nom du sujet ne doit pas obligatoirement être le même pour les deux membres d'une paire de Site Recovery Manager Server.

  • Le certificat doit identifier l'hôte de Site Recovery Manager Server.

    • Pour identifier l'hôte de Site Recovery Manager Server, il est recommandé d'utiliser le nom de domaine complet (FQDN) de l'hôte. Si le certificat identifie l'hôte de Site Recovery Manager Server avec une adresse IP, il doit s'agir d'une adresse IPv4. L'utilisation des adresses IPv6 pour identifier l'hôte n'est pas prise en charge.

    • Les certificats identifient généralement l'hôte dans l'attribut Nom de remplacement du sujet (SAN). Certaines autorités de certification émettent des certificats qui identifient l'hôte dans la valeur Nom commun (CN) de l'attribut Nom du sujet. Site Recovery Manager accepte les certificats qui identifient l'hôte dans la valeur Nom commun, mais cette pratique n'est pas recommandée. Pour obtenir des informations concernant les meilleures pratiques en matière de SAN et CN, reportez-vous au groupe de travail IETF (Internet Engineering Task Force) RFC 6125 à l'adresse https://tools.ietf.org/html/rfc6125.

    • L'identificateur d'hôte dans le certificat doit correspondre à l'adresse de l'hôte local de Site Recovery Manager Server que vous spécifiez lorsque vous installez Site Recovery Manager.

  • Si Site Recovery Manager Server, vCenter Server et Platform Services Controller s'exécutent sur la même machine hôte, vous pouvez utiliser le même certificat pour Site Recovery Manager Server et Platform Services Controller. Dans ce cas, vous devez fournir le certificat dans deux formats :

    • Pour Site Recovery Manager, le certificat doit être au format PFX (Personal Information Exchange Format, PKCS#12) et doit contenir une clé privée ainsi qu'une clé publique.

    • Pour vCenter Server et Platform Services Controller, le certificat doit être séparé en deux fichiers,l'un pour le certificat avec la clé publique et l'autre pour la clé privée.

  • Si vous utilisez un certificat personnalisé signé par une autorité de certification tierce pour laquelle le certificat racine n'est pas enregistré par défaut dans Windows, et si vous souhaitez que les certificats soient approuvés sans vérification de l'empreinte, installez le certificat racine de l'autorité de certification dans le magasin de certificats Windows.