Site Recovery Manager를 지원하는 vCenter Server에 신뢰할 수 있는 CA(인증 기관)에서 발급한 SSL 인증서를 설치한 경우 Site Recovery Manager에서 사용하도록 생성한 인증서가 특정 조건을 충족해야 합니다.

중요:

공용 CA에서는 2015년 11월부터 내부 서버 이름 또는 예약된 IP 주소가 포함된 SSL/TLS 인증서의 발급을 중단했습니다. 내부 서버 이름 또는 예약된 IP 주소가 포함된 SSL/TLS 인증서는 2016년 10월 1일부터 CA에서 해지될 예정입니다. 향후 중단을 최소화하려면, 내부 서버 이름 또는 예약된 IP 주소가 포함된 SSL/TLS 인증서를 사용하는 경우, 2016년 10월 1일 이전에 개인 CA로부터 규정을 준수하는 새 인증서를 가져오십시오.

  • 내부 서버 이름 및 예약된 IP 주소의 사용 중단에 대한 자세한 내용은 https://cabforum.org/internal-names/ 페이지를 참조하십시오.

  • 내부 서버 이름 및 예약된 IP 주소의 사용 중단이 VMware 제품에 어떤 영향을 주는지에 대한 자세한 내용은 http://kb.vmware.com/kb/2134735 페이지를 참조하십시오.

Site Recovery Manager는 인증에 표준 PKCS#12 인증서를 사용하지만 해당 인증서의 특정 필드 컨텐츠에 몇 가지 특정 요구 사항을 적용합니다. 이러한 요구 사항은 Site Recovery Manager Server 쌍의 두 멤버 모두가 사용하는 인증서에 적용됩니다.

  • 인증서에는 주체 이름 값이 있어야 하며 이는 Site Recovery Manager 쌍의 두 멤버에 대해 모두 동일해야 합니다. 주체 이름 값은 다음 구성 요소에서 구성할 수 있습니다.

    • CN(일반 이름) 특성. 여기서는 SRM과 같은 문자열이 적합합니다. CN 특성은 필수입니다.

    • O(조직) 특성 및 OU(조직 구성 단위) 특성. O 및 OU 특성은 필수입니다.

    • 다른 특성, 그 중에서도 예를 들어 L(구/군/시), S(시/도) 및 C(국가) 특성은 허용되지만 필수는 아닙니다. 이러한 특성을 지정하는 경우, 해당 값은 Site Recovery Manager 쌍의 두 멤버 모두에 대해 동일해야 합니다.

  • Site Recovery Manager Server 쌍의 각 멤버가 사용하는 인증서에는 주체 대체 이름 특성(이 값은 Site Recovery Manager Server 호스트의 정규화된 도메인 이름임)이 포함되어야 합니다. 이 값은 Site Recovery Manager Server 쌍의 각 멤버에 대해 서로 다릅니다. 이 이름은 대/소문자를 구분하므로 Site Recovery Manager 설치하는 동안 이름을 지정할 때 소문자를 사용하십시오.

    • openssl CA를 사용 중인 경우 Site Recovery Manager Server 호스트의 정규화된 도메인 이름이 srm1.example.com이면 다음과 같은 행이 포함되도록 openssl 구성 파일을 수정합니다.

      subjectAltName = DNS: srm1.example.com
    • Microsoft CA를 사용 중인 경우 주체 대체 이름을 설정하는 방법에 대한 자세한 내용은 http://support.microsoft.com/kb/931351을 참조하십시오.

  • Site Recovery Manager ServervCenter Server를 모두 동일한 호스트 시스템에서 실행하는 경우 Site Recovery ManagervCenter Server용으로 각각 하나씩, 총 두 개의 인증서를 제공해야 합니다. 각 인증서의 주체 대체 이름 특성은 호스트 시스템의 정규화된 도메인 이름으로 설정되어야 합니다. 따라서 보안 측면에서 Site Recovery Manager ServervCenter Server를 서로 다른 호스트 시스템에서 실행하는 것이 좋습니다.

  • Site Recovery Manager Server 쌍의 각 멤버가 사용하는 인증서에는 값이 serverAuth, clientAuthextendedKeyUsage 또는 enhancedKeyUsage 특성이 포함되어야 합니다. openssl CA를 사용 중인 경우 다음과 같은 행이 포함되도록 openssl 구성 파일을 수정합니다.

    extendedKeyUsage = serverAuth, clientAuth
  • Site Recovery Manager 인증서 암호는 31자를 초과하면 안 됩니다.

  • Site Recovery Manager 인증서 키 길이는 최소 2048비트여야 합니다.

  • Site Recovery Manager는 MD5RSA 및 SHA1RSA 서명 알고리즘을 사용하는 인증서를 허용하지만 이러한 인증서는 권장되지 않습니다. SHA256RSA나 보다 강력한 서명 알고리즘을 사용하십시오.