vSphere Replication を有効にし、信頼性のある認証局によって署名された SSL 証明書のみを受諾することで証明書の有効性の検証を強制する場合は、証明書の要求の一部のフィールドが特定の要件を満たしている必要があります。
vSphere Replication では、PKCS#12 形式のファイルから証明書とプライベート キーをインポートして使用することしかできません。これらのファイルの拡張子が .pfx である場合もあります。
- 証明書は、VRMS Appliance Management Interface の [ローカル ホスト] 設定の値と同じサーバ名に対して発行される必要があります。[ローカル ホスト] 設定にホスト名を入力した場合、または証明書の Subject Alternative Names(SAN)の証明書フィールドのいずれかが [ローカル ホスト] 設定と一致する場合は、証明書のサブジェクト名を設定する必要があります。
- vSphere Replication は、現在の日付に対して証明書の発行日と有効期限を確認し、証明書が有効期限切れにならないようにします。
- たとえば OpenSSL ツールを使用して作成および管理する独自の認証局を使用する場合は、OpenSSL 構成ファイルに完全修飾ドメイン名または IP アドレスを追加する必要があります。
- アプライアンスの完全修飾ドメイン名が
VR1.example.com
である場合、subjectAltName = DNS: VR1.example.com
を OpenSSL 構成ファイルに追加します。 - アプライアンスの IP アドレスを使用する場合は、
subjectAltName = IP: vr-appliance-ip-address
を OpenSSL 構成ファイルに追加します。
- アプライアンスの完全修飾ドメイン名が
- vSphere Replication には、既知のルート認証局への信頼チェーンが必要です。vSphere Replication は、Java 仮想マシンが信頼しているすべての認証局を信頼します。また、vSphere Replication アプライアンスの /opt/vmware/hms/security/hms-truststore.jks で信頼された追加 CA 証明書を手動でインポートできます。
- vSphere Replication は SHA2 署名を受け入れます。
- vSphere Replication は 512 ビットの鍵による RSA 証明書または DSA 証明書を受け入れません。vSphere Replication では、少なくとも 1024 ビットの鍵を使用する必要があります。2048 ビットのパブリック キーを使用することをお勧めします。