Site Recovery Manager でカスタム SSL/TLS 証明書を使用する際の要件

Site Recovery Manager サーバのエンドポイント証明書にカスタムの SSL/TLS 証明書を使用する場合、証明書は特定の基準を満たす必要があります。

Site Recovery Manager 8.x は、標準の PKCS#12 証明書を使用します。Site Recovery Manager では、これらの証明書の内容についての要件がいくつか設けられています。

Site Recovery Manager は、MD5 署名アルゴリズムを使用した証明書を受け入れません。SHA256 か、それよりも強力な署名アルゴリズムを使用してください。
デフォルトで、Site Recovery Manager は SHA-1 署名アルゴリズムを使用した証明書を受け入れません。SHA256 か、それよりも強力な署名アルゴリズムを使用してください。
Site Recovery Manager 証明書は信頼チェーンのルートではありません。信頼チェーンのルートではなくても、CA 証明書の 1 つである、中間 CA 証明書を使用できます。
vCenter Server にカスタム証明書を使用する場合に、Site Recovery Manager にもカスタム証明書を使用する必要はありません。その逆も同様です。
PKCS #12 ファイルのプライベートキーは証明書と一致する必要があります。プライベートキーの長さは 2048 ビット以上にする必要があります。
Site Recovery Manager 証明書のパスワードは、31 文字を超えてはいけません。
現在時刻は証明書の有効期間内にする必要があります。
証明書はサーバ証明書で、x509v3 の Extended Key Usage で TLS Web Server Authentication と指定されている必要があります。
- 証明書には、extendedKeyUsage および enhancedKeyUsage 属性が含まれていて、値が serverAuth である必要があります。
- 証明書が同時にクライアント証明書であることは要求されません。clientAuth の値は必須ではありません。
Subject Name は空白でない必要があり、4096 文字以内にする必要があります。今回のリリースでは、Subject Name は Site Recovery Manager Server のペアの両方と同じにする必要はありません。
証明書は Site Recovery Manager Server ホストを特定する必要があります。
- Site Recovery Manager Server ホストを特定するには、ホストの完全修飾ドメイン名 (FQDN) を使用する方法が推奨されます。証明書が Site Recovery Manager Server ホストを IP アドレスで特定している場合、IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用したホストの特定はサポートされていません。
- 通常、証明書は Subject Alternative Name (SAN) でホストを特定します。一部の認証局は、Subject Name 属性の Common Name (CN) の値でホストを特定する証明書を発行しています。Site Recovery Manager は、CN 値でホストを特定する証明書を受け入れますが、これはベストプラクティスではありません。SAN および CN のベストプラクティスの詳細については、https://tools.ietf.org/html/rfc6125 にある Internet Engineering Task Force （IETF）の RFC 6125 を参照してください。
- 証明書のホストの識別子は、Site Recovery Manager のインストール時に指定した Site Recovery Manager Server のローカルホストアドレスと一致する必要があります。
同じホストマシン上で Site Recovery Manager Serverと vCenter Server を実行している場合は、両方のサーバで同じ証明書を使用できます。この場合、証明書を以下の 2 つの形式で提供する必要があります。
- Site Recovery Manager の証明書は、プライベートキーとパブリックキーを含む PKCS#12 (Personal Information Exchange Format) 証明書にする必要があります。
- vCenter Server の証明書は、2 つのファイルに分割し、一方はパブリックキーを、もう一方はプライベートキーを持つ証明書にする必要があります。vCenter Server の証明書の要件については、vSphere 7.0 ドキュメントの「vSphere セキュリティ証明書」を参照してください。