신뢰할 수 있는 CA(인증 기관)에서 서명한 SSL 인증서만 수락할 수 있도록 vSphere Replication을 설정하여 인증서 유효성 확인을 강제 적용하면 인증서 요청의 일부 필드가 특정 요구 사항을 충족해야 합니다.
vSphere Replication은 PKCS#12 형식의 파일에서만 인증서와 개인 키를 가져와 사용할 수 있습니다. 이러한 파일의 확장자가 .pfx인 경우도 있습니다.
- 인증서는 VRMS Appliance Management Interface의 로컬 호스트 설정 값과 동일한 서버 이름에 발급되어야 합니다. 로컬 호스트 설정에 호스트 이름을 추가하거나 인증서의 주체 대체 이름 인증서 필드가 로컬 호스트 설정과 일치하면 인증서 주체 이름을 그에 맞춰 설정하는 것으로 충분합니다.
- vSphere Replication은 인증서가 만료되지 않도록 인증서 발급 날짜와 만료 날짜를 현재 날짜와 비교합니다.
- 자체 인증 기관(OpenSSL 도구를 사용하여 생성 및 관리하는 인증 기관)을 사용하는 경우에는 FQDN(정규화된 도메인 이름)이나 IP 주소를 OpenSSL 구성 파일에 추가해야 합니다.
- 장치의 FQDN(정규화된 도메인 이름)이
VR1.example.com
이라면subjectAltName = DNS: VR1.example.com
을 OpenSSL 구성 파일에 추가합니다. - 장치의 IP 주소를 사용하는 경우에는
subjectAltName = IP: vr-appliance-ip-address
를 OpenSSL 구성 파일에 추가합니다.
- 장치의 FQDN(정규화된 도메인 이름)이
- vSphere Replication에는 잘 알려진 루트 CA(인증 기관)에 대한 신뢰 체인이 필요합니다. vSphere Replication은 Java 가상 시스템이 신뢰하는 모든 CA(인증 기관)를 신뢰합니다. 또한, 수동으로 /opt/vmware/hms/security/hms-truststore.jks에 있는 신뢰할 수 있는 CA 인증서를 추가로 vSphere Replication 장치에 가져올 수도 있습니다.
- vSphere Replication은 SHA2 서명을 수락합니다.
- vSphere Replication은 512비트 키가 사용된 RSA 또는 DSA 인증서를 수락하지 않습니다. vSphere Replication에는 최소 1024비트 키가 필요합니다. 2048비트 공용 키를 사용하는 것이 가장 좋습니다.