Site Recovery Manager 서버 끝점 인증서에 대해 사용자 지정 SSL/TLS 인증서를 사용하는 경우 인증서가 특정 기준을 충족해야 합니다.

Site Recovery Manager 9.x는 표준 PKCS#12 인증서를 사용합니다. Site Recovery Manager는 이러한 인증서의 내용에 일부 요구 사항을 배치합니다.

  • Site Recovery Manager는 MD5 서명 알고리즘을 사용하는 인증서를 수락하지 않습니다. SHA256이나 보다 강력한 서명 알고리즘을 사용하십시오.
  • 기본적으로 Site Recovery Manager는 SHA-1 서명 알고리즘이 포함된 인증서를 수락하지 않습니다. SHA256이나 보다 강력한 서명 알고리즘을 사용하십시오.
  • Site Recovery Manager 인증서는 신뢰 체인의 루트가 아닙니다. 신뢰 체인의 루트는 아니지만 여전히 CA 인증서인 중간 CA 인증서를 사용할 수 있습니다.
  • vCenter Server에 대해 사용자 지정 인증서를 사용하는 경우 Site Recovery Manager에 대해 사용자 지정 인증서를 사용하지 않아도 됩니다. 그 반대의 경우도 마찬가지입니다.
  • PKCS #12 파일의 개인 키는 인증서와 일치해야 합니다. 개인 키의 최소 길이는 2048비트입니다.
  • Site Recovery Manager 인증서 암호는 31자를 초과하면 안 됩니다.
  • 현재 시간은 인증서 유효 기간 내에 있어야 합니다.
  • 인증서는 x509v3 확장된 키 사용이 TLS 웹 서버 인증을 나타내야 하는 서버 인증서여야 합니다.
    • 인증서는 값이 serverAuthextendedKeyUsage 또는 enhancedKeyUsage 특성을 포함해야 합니다.
    • 인증서가 클라이언트 인증서이기도 해야 하는 요구 사항은 없습니다. clientAuth 값은 필요하지 않습니다.
  • 주체 이름은 비워 둘 수 없으며 4096자 미만의 문자를 포함해야 합니다. 이 릴리스에서 주체 이름은 Site Recovery Manager Server 쌍의 두 멤버에 대해 동일하지 않아도 됩니다.
  • 인증서는 Site Recovery Manager Server 호스트를 식별해야 합니다.
    • Site Recovery Manager Server 호스트를 식별하기 위한 권장되는 방법은 호스트의 FQDN(정규화된 도메인 이름)을 사용하는 것입니다. 인증서가 IP 주소를 사용하여 Site Recovery Manager Server 호스트를 식별하는 경우 이는 IPv4 주소여야 합니다. IPv6 주소를 사용하여 호스트를 식별하는 것은 지원되지 않습니다.
    • 인증서는 일반적으로 SAN(주체 대체 이름) 특성으로 호스트를 식별합니다. 일부 CA는 주체 이름 특성의 CN(일반 이름) 값으로 호스트를 식별하는 인증서를 발급합니다. Site Recovery Manager는 CN 값으로 호스트를 식별하는 인증서를 수락하지만 이는 모범 사례가 아닙니다. SAN 및 CN 모범 사례에 대한 자세한 내용은 https://tools.ietf.org/html/rfc6125의 IETF(Internet Engineering Task Force) RFC 6125를 참조하십시오.
    • 인증서의 호스트 식별자는 Site Recovery Manager를 설치할 때 지정하는 Site Recovery Manager Server 로컬 호스트 주소와 일치해야 합니다.