vSphere Replication アプライアンスの仮想アプライアンス管理インターフェイス (VAMI) で [信頼性のある CA により署名された SSL 証明書のみを受諾する] を選択して証明書の有効性を検証する場合、証明書要求の一部のフィールドは、特定の要件を満たす必要があります。
vSphere Replication では、PKCS#12 形式のファイルから証明書とプライベート キーをインポートして使用することしかできません。これらのファイルの拡張子が .pfx である場合もあります。
- 証明書は、VAMI の [VRM ホスト] 設定の値と同じサーバ名に対して発行される必要があります。[VRM ホスト] 設定にホスト名を入力した場合、または証明書の Subject Alternative Names (SAN) の証明書フィールドのいずれかが [VRM ホスト] 設定と一致する場合は、証明書のサブジェクト名を適切に設定する必要があります。
- vSphere Replication は、現在の日付に対して証明書の発行日と有効期限を確認し、証明書が有効期限切れにならないようにします。
- たとえば OpenSSL ツールを使用して作成および管理する独自の認証局を使用する場合は、OpenSSL 構成ファイルに完全修飾ドメイン名または IP アドレスを追加する必要があります。
- アプライアンスの完全修飾ドメイン名が
VR1.example.comである場合、subjectAltName = DNS: VR1.example.comを OpenSSL 構成ファイルに追加します。 - アプライアンスの IP アドレスを使用する場合は、
subjectAltName = IP: vr-appliance-ip-addressを OpenSSL 構成ファイルに追加します。
- アプライアンスの完全修飾ドメイン名が
- vSphere Replication には、既知のルート認証局への信頼チェーンが必要です。vSphere Replication は、Java 仮想マシンが信頼しているすべての認証局を信頼します。また、vSphere Replication アプライアンスの /opt/vmware/hms/security/hms-truststore.jks で信頼された追加 CA 証明書を手動でインポートできます。
- vSphere Replication は、MD5 および SHA1 ならびに SHA256 署名を受諾します。SHA156 署名を使用することをお勧めします。
- vSphere Replication は 512 ビットの鍵による RSA 証明書または DSA 証明書を受け入れません。vSphere Replication では、少なくとも 1024 ビットの鍵を使用する必要があります。2048 ビットのパブリック キーを使用することをお勧めします。
