Se si utilizzano certificati SSL/TLS personalizzati per il certificato dell'endpoint del server di Site Recovery Manager, i certificati devono soddisfare criteri specifici.

Site Recovery Manager 9.x utilizza certificati PKCS#12 standard. Il contenuto di tali certificati deve soddisfare alcuni requisiti definiti da Site Recovery Manager.

  • Site Recovery Manager non accetta certificati con algoritmi di firma MD5. Utilizzare algoritmi di firma SHA256 o più sicuri.
  • Per impostazione predefinita, Site Recovery Manager non accetta certificati con algoritmi di firma SHA-1. Utilizzare algoritmi di firma SHA256 o più sicuri.
  • Il certificato di Site Recovery Manager non è il root di una catena di attendibilità. È possibile utilizzare un certificato CA intermedio che non sia il root di una catena di attendibilità ma che sia comunque un certificato CA.
  • Se si utilizza un certificato personalizzato per vCenter Server non è obbligatorio utilizzare un certificato personalizzato per Site Recovery Manager. È vero anche il contrario.
  • La chiave privata nel file PKCS #12 deve corrispondere al certificato. La lunghezza minima della chiave privata è 2048 bit.
  • La password del certificato di Site Recovery Manager non può contenere più di 31 caratteri.
  • L'ora corrente deve essere entro il periodo di validità del certificato.
  • Il certificato deve essere un certificato server, per cui x509v3 Extended Key Usage deve indicare TLS Web Server Authentication.
    • Il certificato deve includere un attributo extendedKeyUsage o enhancedKeyUsage, il cui valore sia serverAuth.
    • Non è necessario che il certificato sia anche un certificato client. Il valore clientAuth non è obbligatorio.
  • Il nome dell'oggetto non può essere vuoto e può contenere al massimo 4096 caratteri. In questa versione, il nome dell'oggetto non deve essere lo stesso per entrambi i membri di una coppia di Site Recovery Manager Server.
  • Il certificato deve identificare l'host Site Recovery Manager Server.
    • Per identificare l'host Site Recovery Manager Server, è consigliabile utilizzare il nome di dominio completo dell'host. Se il certificato identifica l'host Site Recovery Manager Server con un indirizzo IP, deve essere un indirizzo IPv4. L'utilizzo di indirizzi IPv6 per identificare l'host non è supportato.
    • I certificati identificano in genere l'host nell'attributo SAN (Subject Alternative Name). Alcune autorità di certificazione emettono certificati che identificano l'host nel valore Nome comune (CN) dell'attributo Nome oggetto. Site Recovery Manager accetta certificati che identificano l'host nel valore CN, ma questa non è la procedura consigliata. Per informazioni sulle procedure consigliate di SAN e CN, vedere l'articolo RFC 6125 di Internet Engineering Task Force (IETF) all'indirizzo https://tools.ietf.org/html/rfc6125.
    • L'identificatore dell'host nel certificato deve corrispondere all'indirizzo dell'host locale Site Recovery Manager Server specificato quando si installa Site Recovery Manager.