vSphere Replication 장치의 VAMI(가상 장치 관리 인터페이스)에서 신뢰할 수 있는 인증 기관에서 서명한 SSL 인증서만 수락을 선택하여 인증서 유효성을 강제로 확인하려면 인증서 요청의 일부 필드가 특정 요구 사항에 맞아야 합니다.

vSphere Replication는 PKCS#12 형식의 파일에서만 인증서와 공용 키를 가져와 사용할 수 있습니다. 이러한 파일은 .pfx 확장자를 사용하는 경우도 있습니다.

  • 인증서는 VAMI의 VRM 호스트 설정 값과 동일한 서버 이름에 발급되어야 합니다. VRM 호스트 설정에 호스트 이름을 지정한 경우에는 인증서 주체 이름만 적절히 설정하면 됩니다. 인증서의 인증서 주체 대체 이름 필드 중 하나만 VRM 호스트 설정과 일치해도 괜찮습니다.

  • vSphere Replication는 인증서가 만료되지 않도록 인증서 발급 날짜와 만료 날짜를 현재 날짜와 비교합니다.

  • OpenSSL 도구를 사용하여 인증서를 만들어 관리하는 등, 자체 인증 기관을 사용하는 경우에는 정규화된 도메인 이름이나 IP 주소를 OpenSSL 구성 파일에 추가해야 합니다.

    • 장치의 정규화된 도메인 이름이 VR1.example.com이라면 subjectAltName = DNS: VR1.example.com을 OpenSSL 구성 파일에 추가합니다.

    • 장치의 IP 주소를 사용하는 경우에는 subjectAltName = IP: vr-appliance-ip-address를 OpenSSL 구성 파일에 추가합니다.

  • vSphere Replication에는 잘 알려진 루트 인증 기관에 대한 신뢰 체인이 필요합니다. vSphere Replication는 Java 가상 시스템에서 신뢰하는 모든 인증 기관을 신뢰합니다. 또한, 수동으로 /opt/vmware/hms/security/hms-truststore.jks에 있는 신뢰할 수 있는 CA 인증서를 추가로 vSphere Replication 장치에 가져올 수도 있습니다.

  • vSphere Replication은 MD5 및 SHA1 서명을 허용하지만 SHA256 서명을 사용하는 것이 좋습니다.

  • vSphere Replication은 512비트 키를 사용하는 RSA 또는 DSA 인증서를 허용하지 않습니다. vSphere Replication에서는 1024비트 이상의 키가 필요합니다. 2048비트 공용 키를 사용하는 것이 좋습니다. 1024비트 키를 사용하면 vSphere Replication에서 주의가 표시됩니다.