Se si sceglie di verificare la validità del certificato configurando vSphere Replication in modo che accetti solo certificati SSL firmati da un'autorità di certificazione attendibile, alcuni campi della richiesta di certificato dovranno soddisfare determinati requisiti.
vSphere Replication può importare e utilizzare certificati e chiavi private solo da un file di formato PKCS#12. Generalmente questi file hanno un'estensione .pfx.
- Il certificato deve essere emesso per un server avente lo stesso nome del valore inserito nell'impostazione Host locale all'interno di VRMS Appliance Management Interface. È sufficiente impostare coerentemente il nome del soggetto del certificato se è stato inserito un valore nell'impostazione Host locale o se uno dei campi del nome alternativo del soggetto (Subject Alternative Name, SAN) all'interno del certificato corrisponde al valore dell'impostazione Host locale.
- vSphere Replication verifica le date di emissione e di scadenza del certificato rispetto alla data corrente, per accertare che il certificato non sia scaduto.
- Se si utilizza la propria autorità di certificazione, ad esempio un'autorità creata e gestita con gli strumenti OpenSSL, è necessario aggiungere il nome di dominio completo o l'indirizzo IP al file di configurazione di OpenSSL.
- Se il nome di dominio completo dell'appliance è
VR1.example.com
, aggiungeresubjectAltName = DNS: VR1.example.com
al file di configurazione di OpenSSL. - Se si utilizza l'indirizzo IP dell'appliance, aggiungere
subjectAltName = IP: indirizzo-ip-appliance-vr
al file di configurazione di OpenSSL.
- Se il nome di dominio completo dell'appliance è
- vSphere Replication richiede una catena attendibile fino ad un'autorità di certificazione root nota. vSphere Replication considera attendibili tutte le autorità di certificazione ritenute tali dalla macchina virtuale Java. Inoltre, è possibile importare manualmente ulteriori certificati di autorità di certificazioni attendibili in /opt/vmware/hms/security/hms-truststore.jks nell'appliance vSphere Replication.
- vSphere Replication accetta le firme SHA2.
- vSphere Replication non accetta certificati RSA o DSA con chiavi a 512 bit. vSphere Replication richiede chiavi ad almeno 1024 bit. È consigliabile utilizzare chiavi pubbliche a 2048 bit.