如果在支援 Site Recovery ManagervCenter Server 上,已安裝由受信任憑證授權機構 (CA) 核發的 SSL 憑證,則您建立供 Site Recovery Manager 使用的憑證必須符合特定準則。

重要事項︰

公開 CA 已於 2015 年 11 月停止核發包含內部伺服器名稱或保留的 IP 位址的 SSL/TLS 憑證。CA 將於 2016 年 10 月 1 日撤銷包含內部伺服器名稱或保留的 IP 位址的 SSL/TLS 憑證。如果您使用包含內部伺服器名稱或保留的 IP 位址的 SSL/TLS 憑證,為儘量減少未來的中斷,請在 2016 年 10 月 1 日前從私有 CA 取得新的相容憑證。

Site Recovery Manager 將標準 PKCS#12 憑證用於驗證時,會針對這些憑證的特定欄位內容設定幾項特定需求。這些需求適用於 vCenter Site Recovery Manager 伺服器配對的兩個成員使用的憑證。

  • 憑證必須具有 [主體名稱] 值,並且對於 Site Recovery Manager 配對的兩個成員,它們的值必須相同。[主體名稱] 值可以由下列部分構成。

    • [一般名稱] (CN) 屬性。諸如 SRM 這樣的字串在此處就很適當。CN 屬性為必填項。

    • [組織] (O) 屬性和 [組織單元] (OU) 屬性。O 和 OU 屬性均為必填項。

    • 其他屬性 (例如 L (位置)、S (省/市) 和 C (國家/地區) 屬性) 均為允許項,而並非必填項。如果要指定任意這些屬性,對於 Site Recovery Manager 配對的兩個成員,它們的值必須相同。

  • vCenter Site Recovery Manager 伺服器 配對的每個成員使用的憑證必須包含 [主體別名] 屬性,其值為 vCenter Site Recovery Manager 伺服器 主機的完整網域名稱。對於 vCenter Site Recovery Manager 伺服器配對的每個成員,此值會有所不同。因為此名稱受區分大小寫比較的約束,所以在 Site Recovery Manager 安裝期間指定名稱時,請使用小寫字母。

    • 如果您使用 OpenSSL CA,請修改 OpenSSL 組態檔案,以便當 vCenter Site Recovery Manager 伺服器主機的完整網域名稱為 srm1.example.com 時,納入如下行:

      subjectAltName = DNS: srm1.example.com
    • 如果您用 Microsoft CA,請參閱 http://support.microsoft.com/kb/931351,以取得有關如何設定 [主題別名] 的資訊。

  • 如果在同一主機上執行 vCenter Site Recovery Manager 伺服器vCenter Server,則您必須提供兩個憑證,一個用於 Site Recovery Manager,另一個用於 vCenter Server。每個憑證必須具有設為主機完整網域名稱的 [主題別名] 屬性。因此,從安全性的觀點來看,最好在不同主機上執行 vCenter Site Recovery Manager 伺服器vCenter Server

  • vCenter Site Recovery Manager 伺服器配對的每個成員使用的憑證必須包含 extendedKeyUsageenhancedKeyUsage 屬性,其值為 serverAuth, clientAuth。如果您使用 OpenSSL CA,請修改 OpenSSL 組態檔案,以便納入如下行:

    extendedKeyUsage = serverAuth, clientAuth
  • Site Recovery Manager 憑證密碼不能超過 31 個字元。

  • Site Recovery Manager 憑證金錀長度最小必須為 2048 位元。

  • Site Recovery Manager 會接受具有 MD5RSA 和 SHA1RSA 簽章演算法的憑證,但不建議使用這些憑證。請使用 SHA256RSA 或強度更高的簽章演算法。