vSphere Replication アプライアンスの仮想アプライアンス管理インターフェイス (VAMI) で [信頼性のある CA により署名された SSL 証明書のみを受諾する] を選択して証明書の有効性を検証する場合、証明書要求の一部のフィールドは、特定の要件を満たす必要があります。
vSphere Replication では、PKCS#12 形式のファイルから証明書と秘密鍵をインポートして使用することのみできます。これらのファイルの拡張子が .pfx である場合もあります。
- 証明書は、VAMI の [VRM ホスト] 設定の値と同じサーバ名に対して発行される必要があります。[VRM ホスト] 設定でホスト名を入力した場合は、それに応じて証明書のサブジェクト名の設定のみで十分です。証明書の [サブジェクトの別名] フィールドのいずれかが [VRM ホスト] 設定と合致する場合でも同様です。
- vSphere Replication は、現在の日付に対して証明書の発行日と有効期限を確認し、証明書の有効期限が切れていないようにします。
- たとえば OpenSSL ツールを使用して作成および管理する独自の認証局を使用する場合は、OpenSSL 構成ファイルに完全修飾ドメイン名または IP アドレスを追加する必要があります。
- アプライアンスの完全修飾ドメイン名が
VR1.example.comである場合、subjectAltName = DNS: VR1.example.comを OpenSSL 構成ファイルに追加します。 - アプライアンスの IP アドレスを使用する場合は、
subjectAltName = IP: vr-appliance-ip-addressを OpenSSL 構成ファイルに追加します。
- アプライアンスの完全修飾ドメイン名が
- vSphere Replication では、有名なルート認証局への信頼チェーンが必要です。vSphere Replication は、Java 仮想マシンの信頼するすべての認証局を信頼します。また、vSphere Replication アプライアンスの /opt/vmware/hms/security/hms-truststore.jks で信頼された追加 CA 証明書を手動でインポートできます。
- vSphere Replication は MD5 および SHA1 の署名を受け入れますが、SHA256 署名を使用することをお勧めします。
- vSphere Replication は 512 ビットの鍵による RSA 証明書または DSA 証明書を受け入れません。vSphere Replication では、少なくとも 1024 ビットの鍵を使用する必要があります。2048 ビットの公開鍵を使用することをお勧めします。1024 ビットの鍵を使用すると、vSphere Replication で警告が表示されます。
