Si vous utilisez des certificats SSL/TLS personnalisés pour le certificat de point de terminaison du serveur Site Recovery Manager, les certificats doivent répondre à des critères spécifiques.

Site Recovery Manager 9.x utilise des certificats PKCS#12 standard. Site Recovery Manager place certaines exigences sur le contenu de ces certificats.

  • Site Recovery Manager n'accepte pas les certificats avec des algorithmes de signature MD5. Il est préférable d'utiliser au minimum des algorithmes de signature SHA256.
  • Par défaut, Site Recovery Manager n'accepte pas les certificats incluant des algorithmes de signature SHA-1. Il est préférable d'utiliser au minimum des algorithmes de signature SHA256.
  • Le certificat Site Recovery Manager n'est pas la racine d'une chaîne d'approbation. Vous pouvez utiliser une autorité de certification intermédiaire qui n'est pas la racine d'une chaîne d'approbation, mais reste un certificat d'autorité de certification.
  • Si vous utilisez un certificat personnalisé pour vCenter Server, vous n'êtes pas obligé d'utiliser un certificat personnalisé pour Site Recovery Manager. L'inverse est également vrai.
  • La clé privée du fichier PKCS #12 doit correspondre au certificat. La longueur minimale de la clé privée est 2 048 bits.
  • Le mot de passe du certificat de Site Recovery Manager ne doit pas dépasser 31 caractères.
  • L'heure actuelle doit être comprise dans la période de validité du certificat.
  • Le certificat doit être un certificat de serveur, pour lequel l'utilisation étendue de la clé x509v3 doit indiquer l'authentification du serveur Web TLS.
    • Le certificat doit inclure un attribut extendedKeyUsage ou enhancedKeyUsage, dont la valeur est serverAuth.
    • Le certificat ne doit pas obligatoirement être un certificat client. La valeur clientAuth n'est pas obligatoire.
  • Le nom du sujet ne doit pas être vide et doit contenir moins de 4 096 caractères. Dans cette version, le nom du sujet ne doit pas obligatoirement être le même pour les deux membres d'une paire de Site Recovery Manager Server.
  • Le certificat doit identifier l'hôte de Site Recovery Manager Server.
    • Pour identifier l'hôte de Site Recovery Manager Server, il est recommandé d'utiliser le nom de domaine complet (FQDN) de l'hôte. Si le certificat identifie l'hôte de Site Recovery Manager Server avec une adresse IP, il doit s'agir d'une adresse IPv4. L'utilisation des adresses IPv6 pour identifier l'hôte n'est pas prise en charge.
    • Les certificats identifient généralement l'hôte dans l'attribut Nom de remplacement du sujet (SAN). Certaines autorités de certification émettent des certificats qui identifient l'hôte dans la valeur Nom commun (CN) de l'attribut Nom du sujet. Site Recovery Manager accepte les certificats qui identifient l'hôte dans la valeur Nom commun, mais cette pratique n'est pas recommandée. Pour obtenir des informations concernant les meilleures pratiques en matière de SAN et CN, reportez-vous au groupe de travail IETF (Internet Engineering Task Force) RFC 6125 à l'adresse https://tools.ietf.org/html/rfc6125.
    • L'identificateur d'hôte dans le certificat doit correspondre à l'adresse de l'hôte local de Site Recovery Manager Server que vous spécifiez lorsque vous installez Site Recovery Manager.