Site Recovery Manager 서버 끝점 인증서에 대해 사용자 지정 SSL/TLS 인증서를 사용하는 경우 인증서가 특정 기준을 충족해야 합니다.

중요:

공용 CA(인증 기관)에서는 2015년 11월부터 내부 서버 이름 또는 예약된 IP 주소가 포함된 SSL/TLS 인증서의 발급을 중단했습니다. 내부 서버 이름 또는 예약된 IP 주소가 포함된 SSL/TLS 인증서는 2016년 10월 1일부터 CA에서 해지될 예정입니다. 향후 혼란을 최소화하려면 내부 서버 이름이나 예약된 IP 주소가 포함된 SSL/TLS 인증서를 사용하는 경우, 2016년 10월 1일 이전에 규정을 준수하는 인증서를 공용 CA에서 새로 발급하십시오. 또는 개인 CA에서 인증서를 발급할 수도 있습니다.

  • 내부 서버 이름 및 예약된 IP 주소의 사용 중단에 대한 자세한 내용은 https://cabforum.org/internal-names/ 페이지를 참조하십시오.

  • 내부 서버 이름 및 예약된 IP 주소의 사용 중단이 VMware 제품에 어떤 영향을 주는지에 대한 자세한 내용은 http://kb.vmware.com/kb/2134735 페이지를 참조하십시오.

Site Recovery Manager는 표준 PKCS#12 인증서를 사용합니다. Site Recovery Manager는 이러한 인증서의 컨텐츠에 대한 일부 요구 사항이 있지만 이번 릴리스의 요구 사항이 이전 Site Recovery Manager 릴리스의 요구 사항보다 덜 까다롭습니다.

  • Site Recovery Manager는 MD5 서명 알고리즘을 사용하는 인증서를 수락하지 않습니다. SHA256이나 보다 강력한 서명 알고리즘을 사용하십시오. MD5 인증서를 사용하는 기존 Site Recovery Manager 설치를 업그레이드하는 경우 Site Recovery Manager를 업그레이드하기 전에 보다 강력한 서명 알고리즘을 사용하는 새 인증서를 얻어야 합니다.

  • Site Recovery Manager는 SHA1 서명 알고리즘을 사용하는 인증서를 수락하지만 이러한 인증서는 권장되지 않으며 설치 중 경고가 발생합니다. SHA256이나 보다 강력한 서명 알고리즘을 사용하십시오.

  • Site Recovery Manager 인증서는 신뢰 체인의 루트가 아닙니다. CA 인증서가 아니어야 합니다.

  • vCenter ServerPlatform Services Controller에 대해 사용자 지정 인증서를 사용하는 경우 Site Recovery Manager에 대해 사용자 지정 인증서를 사용하지 않아도 되며 그 반대의 경우도 마찬가지입니다.

  • PKCS #12 파일의 개인 키는 인증서와 일치해야 합니다. 개인 키의 최소 길이는 2048비트입니다.

  • Site Recovery Manager 인증서 암호는 31자를 초과하면 안 됩니다.

  • 현재 시간은 인증서 유효 기간 내에 있어야 합니다.

  • 인증서는 x509v3 확장된 키 사용이 TLS 웹 서버 인증을 나타내야 하는 서버 인증서여야 합니다.

    • 인증서는 값이 serverAuthextendedKeyUsage 또는 enhancedKeyUsage 특성을 포함해야 합니다.

    • 이전 릴리스에서와 달리 인증서가 클라이언트 인증서이기도 해야 하는 요구 사항이 없습니다. clientAuth 값은 필요하지 않습니다.

  • 주체 이름은 비워 둘 수 없으며 4096자 미만의 문자를 포함해야 합니다. 이 릴리스에서 주체 이름은 Site Recovery Manager Server 쌍의 두 멤버에 대해 동일하지 않아도 됩니다.

  • 인증서는 Site Recovery Manager Server 호스트를 식별해야 합니다.

    • Site Recovery Manager Server 호스트를 식별하기 위한 권장되는 방법은 호스트의 FQDN(정규화된 도메인 이름)을 사용하는 것입니다. 인증서가 IP 주소를 사용하여 Site Recovery Manager Server 호스트를 식별하는 경우 이는 IPv4 주소여야 합니다. IPv6 주소를 사용하여 호스트를 식별하는 것은 지원되지 않습니다.

    • 인증서는 일반적으로 SAN(주체 대체 이름) 특성으로 호스트를 식별합니다. 일부 CA는 주체 이름 특성의 CN(일반 이름) 값으로 호스트를 식별하는 인증서를 발급합니다. Site Recovery Manager는 CN 값으로 호스트를 식별하는 인증서를 수락하지만 이는 모범 사례가 아닙니다. SAN 및 CN 모범 사례에 대한 자세한 내용은 https://tools.ietf.org/html/rfc6125의 IETF(Internet Engineering Task Force) RFC 6125를 참조하십시오.

    • 인증서의 호스트 식별자는 Site Recovery Manager를 설치할 때 지정하는 Site Recovery Manager Server 로컬 호스트 주소와 일치해야 합니다.

  • Site Recovery Manager Server, vCenter ServerPlatform Services Controller가 동일한 호스트 시스템에서 실행되는 경우 Site Recovery Manager ServerPlatform Services Controller 모두에 대해 동일한 인증서를 사용할 수 있습니다. 이 경우 다음과 같은 두 가지 형식으로 인증서를 제공해야 합니다.

    • Site Recovery Manager의 경우 인증서가 개인 키와 공용 키가 모두 포함된 개인 정보 교환 형식(PKCS#12) 인증서여야 합니다.

    • vCenter ServerPlatform Services Controller의 경우 인증서가 각각 공용 키 및 개인 키를 사용하는 2개의 인증서 파일로 분리되어야 합니다.

  • Windows에서 기본적으로 루트 인증서가 등록되지 않은 타사 CA에서 서명한 사용자 지정 인증서를 사용하며 지문 확인 없이도 인증서를 신뢰할 수 있도록 만들길 원한다면 Windows 인증서 저장소에 루트 CA 인증서를 설치합니다.