如果您透過在 vSphere Replication 應用裝置的虛擬應用裝置管理介面 (VAMI) 中選取僅接受由受信任的憑證授權單位所簽署的 SSL 憑證來強制執行憑證有效性的驗證,則憑證申請的某些欄位必須符合特定的需求。
vSphere Replication 僅可從 PKCS#12 格式的檔案匯入和使用憑證及私密金鑰。有時,這些檔案具有 .pfx 副檔名。
- 必須針對與 VAMI 中 VRM 主機設定中的值相同的伺服器名稱核發此憑證。如果您在 VRM 主機設定中設定了主機名稱,則相應地設定此憑證主體名稱已足夠。如果憑證的任一憑證「主體別名」欄位與 VRM 主機設定相符,也將有效。
- vSphere Replication 可對照目前的日期檢查憑證的核發與到期日期,以確保該憑證尚未到期。
- 如果您使用自己的憑證授權單位,例如,利用 OpenSSL 工具建立及管理的憑證授權單位,則必須將完整網域名稱或 IP 位址新增至 OpenSSL 組態檔。
- 如果該應用裝置的完整網域名稱為
VR1.example.com,則新增subjectAltName = DNS:VR1.example.com到 OpenSSL 組態檔。 - 如果您使用應用裝置的 IP 位址,則新增
subjectAltName = IP:vr-appliance-ip-address到 OpenSSL 組態檔。
- 如果該應用裝置的完整網域名稱為
- vSphere Replication 需要已知的根憑證授權單位的信任鏈。vSphere Replication 將信任 Java 虛擬機器所信任的所有憑證授權單位。此外,您也可以在 vSphere Replication 應用裝置上的 /opt/vmware/hms/security/hms-truststore.jks 中手動匯入其他受信任的 CA 憑證。
- vSphere Replication 可接受 MD5 和 SHA1 簽章,但是 VMware 建議您使用 SHA256 簽章。
- vSphere Replication 不接受含有 512 位元金鑰的 RSA 或 DSA 憑證。vSphere Replication 需要至少 1024 位元的金鑰。VMware 建議使用 2048 位元的公開金鑰。如果您使用的是 1024 位元的金鑰,則 vSphere Replication 會顯示警告。
