Si vous appliquez une vérification de la validité des certificats en demandant à vSphere Replication d'accepter uniquement les certificats SSL signés par une autorité de certification de confiance, certains champs de la demande de certificat doivent répondre à certaines exigences.
vSphere Replication peut importer et utiliser uniquement des certificats et des clés privées d'un fichier de format PKCS#12. Parfois, ces fichiers portent l'extension .pfx.
- Le certificat doit être émis pour le même nom de serveur que celui défini dans le paramètre Hôte local de l'interface VRMS Appliance Management Interface. Il suffit de définir le nom d'objet du certificat en conséquence, si vous indiquez un nom d'hôte dans le paramètre Hôte local ou si l'un des champs Noms alternatifs de l'objet du certificat correspond au paramètre Hôte local .
- vSphere Replication vérifie les dates d'émission et d'expiration du certificat par rapport à la date en cours, pour s'assurer que le certificat n'a pas expiré.
- Si vous utilisez votre propre autorité de certification, par exemple, que vous créez et gérez avec les outils OpenSSL, vous devez ajouter le nom de domaine complet qualifié ou l'adresse IP au fichier de configuration OpenSSL.
- Si le nom de domaine complet qualifié du dispositif est
VR1.example.com, ajoutezsubjectAltName = DNS: VR1.example.comau fichier de configuration OpenSSL. - Si vous utilisez l'adresse IP du dispositif, ajoutez
subjectAltName = IP: vr-appliance-ip-addressau fichier de configuration OpenSSL.
- Si le nom de domaine complet qualifié du dispositif est
- vSphere Replication nécessite une chaîne d'approbation vers une autorité de certification racine reconnue. vSphere Replication approuve toutes les autorités de certification approuvées par la que la machine virtuelle Java. En outre, vous pouvez importer manuellement des certificats CA approuvés supplémentaires dans /opt/vmware/hms/security/hms-truststore.jks sur le dispositif vSphere Replication.
- vSphere Replication accepte les signatures SHA2.
- vSphere Replication n'accepte pas les certificats RSA ou DSA avec des clés 512 bits. vSphere Replication nécessite au moins des clés de 1 024 bits. Il est préférable d'utiliser des clés publiques de 2 048 bits.
