Site Recovery Manager でカスタム SSL/TLS 証明書を使用する際の要件

Site Recovery Manager サーバのエンドポイント証明書にカスタムの SSL/TLS 証明書を使用する場合、証明書は特定の基準を満たす必要があります。

重要:

パブリック認証局 (CA) は、2015 年 11 月に内部サーバ名または予約された IP アドレスを含む SSL/TLS 証明書の発行を停止しました。CA は、2016 年 10 月 1 日に内部サーバ名または予約された IP アドレスを含む SSL/TLS 証明書を失効させます。今後の混乱を最小にするために、内部サーバ名または予約された IP アドレスを含む SSL/TLS 証明書を使用している場合は、2016 年 10 月 1 日より前にパブリック CA から互換性がある証明書を新規に取得します。または、プライベート CA を使用して証明書を発行します。

内部サーバ名と予約された IP アドレスの廃止については、https://cabforum.org/internal-names/ を参照してください。
内部サーバ名と予約された IP アドレスの廃止の VMware 製品への影響については、http://kb.vmware.com/kb/2134735 を参照してください。

Site Recovery Manager 6.x は、標準の PKCS#12 証明書を使用します。Site Recovery Manager では、これらの証明書の内容に複数の要件がありましたが、今回のリリースの要件は 5.x リリースの Site Recovery Manager に比べて緩和されています。

Site Recovery Manager は、MD5 署名アルゴリズムを使用した証明書を受け入れません。SHA256 か、それよりも強力な署名アルゴリズムを使用してください。
Site Recovery Manager は、SHA1 署名アルゴリズムを使用した証明書を受け入れますが、これは推奨されないため、インストール中に警告が表示されます。SHA256 か、それよりも強力な署名アルゴリズムを使用してください。
Site Recovery Manager 証明書は信頼チェーンのルートではありません。信頼チェーンのルートではなくても、CA 証明書の 1 つである、中間 CA 証明書を使用できます。
vCenter Server と Platform Services Controller にカスタム証明書を使用する場合に、Site Recovery Manager にもカスタム証明書を使用する必要はありません。その逆も同様です。
PKCS #12 ファイルのプライベートキーは証明書と一致する必要があります。プライベートキーの長さは 2048 ビット以上にする必要があります。
Site Recovery Manager 証明書のパスワードは、31 文字を超えてはいけません。
現在時刻は証明書の有効期間内にする必要があります。
証明書はサーバ証明書で、x509v3 の Extended Key Usage で TLS Web Server Authentication と指定されている必要があります。
- 証明書には、extendedKeyUsage および enhancedKeyUsage 属性が含まれていて、値が serverAuth である必要があります。
- 5.x リリースとは異なり、証明書が同時にクライアント証明書である必要はありません。clientAuth の値は必須ではありません。
Subject Name は空白でない必要があり、4096 文字以内にする必要があります。今回のリリースでは、Subject Name は Site Recovery Manager Server のペアの両方と同じにする必要はありません。
証明書は Site Recovery Manager Server ホストを特定する必要があります。
- Site Recovery Manager Server ホストを特定するには、ホストの完全修飾ドメイン名 (FQDN) を使用する方法が推奨されます。証明書が Site Recovery Manager Server ホストを IP アドレスで特定している場合、IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用したホストの特定はサポートされていません。
- 通常、証明書は Subject Alternative Name (SAN) でホストを特定します。一部の認証局は、Subject Name 属性の Common Name (CN) の値でホストを特定する証明書を発行しています。Site Recovery Manager は、CN 値でホストを特定する証明書を受け入れますが、これはベストプラクティスではありません。SAN および CN のベストプラクティスの詳細については、https://tools.ietf.org/html/rfc6125にある Internet Engineering Task Force (IETF) の RFC 6125 を参照してください。
- 証明書のホストの識別子は、Site Recovery Manager のインストール時に指定した Site Recovery Manager Server のローカルホストアドレスと一致する必要があります。
同じマシン上で Site Recovery Manager Server、vCenter Server、Platform Services Controller を実行している場合、これら 3 つのサーバで同じ証明書を使用できます。この場合、証明書を以下の 2 つの形式で提供する必要があります。
- Site Recovery Manager の証明書は、プライベートキーとパブリックキーを含む PKCS#12 (Personal Information Exchange Format) 証明書にする必要があります。
- vCenter Server と Platform Services Controller の証明書は、2 つのファイルに分割し、片方はパブリックキーを、もう片方はプライベートキーを持つ証明書にする必要があります。vCenter Server および Platform Services Controller の証明書の要件に関する詳細については、vSphere 6.5 ドキュメントの「vSphere セキュリティ証明書」を参照してください。
ルート証明書が、Windows のデフォルトで登録されていない、サードパーティ CA によって署名されたカスタム証明書を使用し、サムプリントの検証の必要なく証明書を信頼させる場合には、ルート CA 証明書を Windows 証明書ストアにインストールします。