如果讓 vSphere Replication 僅接受由信任憑證授權機構簽署的 SSL 憑證來強制執行憑證有效性驗證,則憑證要求的某些欄位必須符合特定需求。
vSphere Replication 僅可從 PKCS#12 格式的檔案匯入和使用憑證及私密金鑰。有時,這些檔案具有 .pfx 副檔名。
- 必須針對與 VRMS Appliance Management Interface中本機主機設定中的值相同的伺服器名稱核發此憑證。如果您將主機名稱置於本機主機設定中,或者如果憑證的任何主體別名憑證欄位與本機主機設定相符,則相應地設定憑證主體名稱就已足夠。
- vSphere Replication 可對照目前的日期檢查憑證的核發與到期日期,以確保該憑證尚未到期。
- 如果您使用自己的憑證授權單位,例如,利用 OpenSSL 工具建立及管理的憑證授權單位,則必須將完整網域名稱或 IP 位址新增至 OpenSSL 組態檔。
- 如果該應用裝置的完整網域名稱為
VR1.example.com
,則新增subjectAltName = DNS: VR1.example.com
至 OpenSSL 組態檔。 - 如果使用應用裝置的 IP 位址,請新增
subjectAltName = IP: vr-appliance-ip-address
至 OpenSSL 組態檔。
- 如果該應用裝置的完整網域名稱為
- vSphere Replication 需要與已知的根憑證授權機構的信任鏈。vSphere Replication 信任 Java 虛擬機器所信任的所有憑證授權機構。此外,您也可以在 vSphere Replication 應用裝置上的 /opt/vmware/hms/security/hms-truststore.jks 中手動匯入其他受信任的 CA 憑證。
- vSphere Replication 接受 SHA2 簽章。
- vSphere Replication 不接受具有 512 位元金鑰的 RSA 或 DSA 憑證。vSphere Replication 至少需要 1024 位元的金鑰。最佳做法是使用 2048 位元的公開金鑰。