vSphere Replication アプライアンスの仮想アプライアンス管理インターフェイス (VAMI) で 信頼性のある CA により署名された SSL 証明書のみを受諾する を選択して証明書の有効性を検証する場合、証明書要求の一部のフィールドは、特定の要件を満たす必要があります。

vSphere Replication では、PKCS#12 形式のファイルから証明書と秘密鍵をインポートして使用することのみできます。これらのファイルの拡張子が .pfx である場合もあります。

  • 証明書は、VAMI の VRM ホスト 設定の値と同じサーバ名に対して発行される必要があります。VRM ホスト 設定でホスト名を入力した場合は、それに応じて証明書のサブジェクト名の設定のみで十分です。証明書の [サブジェクトの別名] フィールドのいずれかが VRM ホスト 設定と合致する場合でも同様です。

  • vSphere Replication は、現在の日付に対して証明書の発行日と有効期限を確認し、証明書の有効期限が切れていないようにします。

  • たとえば OpenSSL ツールを使用して作成および管理する独自の認証局を使用する場合は、OpenSSL 構成ファイルに完全修飾ドメイン名または IP アドレスを追加する必要があります。

    • アプライアンスの完全修飾ドメイン名が VR1.example.com である場合、subjectAltName = DNS: VR1.example.com を OpenSSL 構成ファイルに追加します。

    • アプライアンスの IP アドレスを使用する場合は、subjectAltName = IP: vr-appliance-ip-address を OpenSSL 構成ファイルに追加します。

  • vSphere Replication では、有名なルート認証局への信頼チェーンが必要です。vSphere Replication は、Java 仮想マシンの信頼するすべての認証局を信頼します。また、vSphere Replication アプライアンスの /opt/vmware/hms/security/hms-truststore.jks で信頼された追加 CA 証明書を手動でインポートできます。

  • vSphere Replication は MD5 および SHA1 の署名を受け入れますが、SHA256 署名を使用することをお勧めします。

  • vSphere Replication は 512 ビットの鍵による RSA 証明書または DSA 証明書を受け入れません。vSphere Replication では、少なくとも 1024 ビットの鍵を使用する必要があります。2048 ビットの公開鍵を使用することをお勧めします。1024 ビットの鍵を使用すると、vSphere Replication で警告が表示されます。