Si vous appliquez la vérification de la validité des certificats en sélectionnant Accepter uniquement les certificats SSL signés par une autorité de certification de confiance dans l'interface VAMI (Virtual Appliance Management Interface) du dispositif vSphere Replication, certains champs de la demande de certificat doivent respecter certaines exigences.

vSphere Replication peut importer et utiliser uniquement des certificats et des clés privées d'un fichier de format PKCS#12. Parfois, ces fichiers portent l'extension .pfx.

  • Le certificat doit être émis pour le même nom de serveur que celui défini dans le paramètre Hôte VRM dans l'interface VAMI. La définition de l'objet du certificat en conséquence suffit, si vous insérez un nom d'hôte dans le paramètre Hôte VRM. Si des champs Nom alternatif de sujet du certificat correspondent au paramètre Hôte VRM, cela marche également.

  • vSphere Replication vérifie les dates d'émission et d'expiration du certificat par rapport à la date en cours, pour s'assurer que le certificat n'a pas expiré.

  • Si vous utilisez votre propre autorité de certification, par exemple, que vous créez et gérez avec les outils OpenSSL, vous devez ajouter le nom de domaine complet qualifié ou l'adresse IP au fichier de configuration OpenSSL.

    • Si le nom de domaine complet qualifié du dispositif est VR1.example.com, ajoutez subjectAltName = DNS: VR1.example.com au fichier de configuration OpenSSL.

    • Si vous utilisez l'adresse IP du dispositif, ajoutez subjectAltName = IP: vr-appliance-ip-address au fichier de configuration OpenSSL.

  • vSphere Replication nécessite une chaîne d'approbation vers une autorité de certification racine connue. vSphere Replication approuve toutes les autorités de certifications qu'approuve la JVM (Java Virtual Machine). En outre, vous pouvez importer manuellement des certificats CA approuvés supplémentaires dans /opt/vmware/hms/security/hms-truststore.jks sur le dispositif vSphere Replication.

  • vSphere Replication accepte les signatures MD5 et SHA1, mais VMware vous recommande d'utiliser des signatures SHA256.

  • vSphere Replication n'accepte pas les certificats RSA ou DSA avec des clés 512 bits. vSphere Replication exige au minimum des clés 1024 bits. VMware recommande l'utilisation de clés publiques 2048 bits. Si vous utilisez une clé 1024 bits, vSphere Replication affiche un avertissement.