如果您使用自訂 SSL/TLS 憑證以取得 Site Recovery Manager 伺服器端點憑證,該憑證必須符合特定準則。

重要事項︰

公開憑證授權機構 (CA) 已於 2015 年 11 月停止核發包含內部伺服器名稱或保留的 IP 位址的 SSL/TLS 憑證。CA 將於 2016 年 10 月 1 日撤銷包含內部伺服器名稱或保留的 IP 位址的 SSL/TLS 憑證。如果您使用包含內部伺服器名稱或保留的 IP 位址的 SSL/TLS 憑證,為儘量減少未來的中斷,請在 2016 年 10 月 1 日前從公開 CA 取得新的相容憑證。或者,請使用私有 CA 核發憑證。

Site Recovery Manager 6.x 使用標準 PKCS#12 憑證。Site Recovery Manager 針對這些憑證的內容設定一些需求,但此版本需求的嚴苛程度要弱於 Site Recovery Manager 5.x 版的需求。

  • Site Recovery Manager 不接受具有 MD5 簽章演算法的憑證。請使用 SHA256 或強度更高的簽章演算法。

  • Site Recovery Manager 接受具有 SHA1 簽章演算法的憑證,但是系統並不建議使用這些憑證,因為會導致安裝期間出現警告。請使用 SHA256 或強度更高的簽章演算法。

  • Site Recovery Manager 憑證不是信任鏈的根憑證。您可使用不是信任鏈之根的中繼 CA 憑證,但是這依然是 CA 憑證。

  • 如果您使用 vCenter ServerPlatform Services Controller 的自訂憑證,則無需使用 Site Recovery Manager 的自訂憑證。反之亦然。

  • PKCS #12 檔案中的私密金鑰必須與憑證相符。私密金鑰的最小長度為 2048 個位元。

  • Site Recovery Manager 憑證密碼不能超過 31 個字元。

  • 目前時間必須在憑證有效期範圍之內。

  • 憑證必須為伺服器憑證,該伺服器憑證的 x509v3 延伸的金鑰使用方法必須指示 TLS Web 伺服器驗證。

    • 憑證必須包含 extendedKeyUsageenhancedKeyUsage 屬性,其值為 serverAuth

    • 與 5.x 版不同,讓該憑證成為用戶端憑證,沒有任何需求。無需 clientAuth 值。

  • [主體名稱] 不得為空,且包含的字元不得超過 4,096 個。在此版中,Site Recovery Manager Server 配對的兩個成員的 [主體名稱] 無需完全相同。

  • 憑證必須識別 Site Recovery Manager Server 主機。

    • 建議識別 Site Recovery Manager Server 主機的方式為使用主機的完整網域名稱 (FQDN)。如果憑證使用 IP 位址識別 Site Recovery Manager Server 主機,則該位址必須為 IPv4 位址。不支援使用 IPv6 位址識別主機。

    • 憑證通常透過 [主體別名 (SAN)] 屬性識別主機。某些 CA 核發的憑證透過 [主體名稱] 屬性之 [一般名稱 (CN)] 值識別主機。Site Recovery Manager 接受透過 CN 值識別主機的憑證,但是其不是最佳做法。如需 SAN 和 CN 最佳做法的相關資訊,請參閱網際網路工程任務推動小組 (IETF) RFC 6125,網址為 https://tools.ietf.org/html/rfc6125

    • 憑證中的主機識別碼必須與安裝 Site Recovery Manager 時所指定的 Site Recovery Manager Server 本機主機位址相符。

  • 如果 Site Recovery Manager ServervCenter ServerPlatform Services Controller 在同一台主機機器上執行,您可以針對所有的三個伺服器使用同一個憑證。在此情況下,您必須以兩種格式提供憑證:

    • 對於 Site Recovery Manager,憑證必須為同時包含私密金鑰和公開金鑰的個人資訊交換格式 (PKCS#12) 的憑證。

    • 對於 vCenter ServerPlatform Services Controller,憑證必須分為兩個檔案,一個用於具有公開金鑰的憑證,另一個用於具有私密金鑰的憑證。如需 vCenter ServerPlatform Services Controller 憑證需求的相關資訊,請參閱 vSphere 6.5 說明文件中的 vSphere 安全性憑證

  • 如果您使用由第三方 CA 簽署的自訂憑證 (其根憑證依預設未在 Windows 中註冊),且您希望無需指紋驗證就信任憑證,則請在 Windows 憑證存放區中安裝根 CA 憑證。