Requisiti quando si utilizzano certificati SSL/TLS personalizzati con Site Recovery Manager
Site Recovery Manager
Se si utilizzano certificati SSL/TLS personalizzati per il certificato dell'endpoint del server di
Site Recovery Manager
, i certificati devono soddisfare criteri specifici.
Site Recovery Manager
8.x utilizza certificati PKCS#12 standard. Il contenuto di tali certificati deve soddisfare alcuni requisiti definiti da Site Recovery Manager
.
- Site Recovery Managernon accetta certificati con algoritmi di firma MD5. Utilizzare algoritmi di firma SHA256 o più sicuri.
- Per impostazione predefinita,Site Recovery Managernon accetta certificati con algoritmi di firma SHA-1. Utilizzare algoritmi di firma SHA256 o più sicuri.
- Il certificato diSite Recovery Managernon è il root di una catena di attendibilità. È possibile utilizzare un certificato CA intermedio che non sia il root di una catena di attendibilità ma che sia comunque un certificato CA.
- Se si utilizza un certificato personalizzato pervCenter Servernon è obbligatorio utilizzare un certificato personalizzato perSite Recovery Manager. È vero anche il contrario.
- La chiave privata nel file PKCS #12 deve corrispondere al certificato. La lunghezza minima della chiave privata è 2048 bit.
- La password del certificato diSite Recovery Managernon può contenere più di 31 caratteri.
- L'ora corrente deve essere entro il periodo di validità del certificato.
- Il certificato deve essere un certificato server, per cui x509v3 Extended Key Usage deve indicare TLS Web Server Authentication.
- Il certificato deve includere un attributoextendedKeyUsageoenhancedKeyUsage, il cui valore siaserverAuth.
- Non è necessario che il certificato sia anche un certificato client. Il valoreclientAuthnon è obbligatorio.
- Il nome dell'oggetto non può essere vuoto e può contenere al massimo 4096 caratteri. In questa versione, il nome dell'oggetto non deve essere lo stesso per entrambi i membri di una coppia diServer di Site Recovery Manager.
- Il certificato deve identificare l'hostServer di Site Recovery Manager.
- Per identificare l'hostServer di Site Recovery Manager, è consigliabile utilizzare il nome di dominio completo dell'host. Se il certificato identifica l'hostServer di Site Recovery Managercon un indirizzo IP, deve essere un indirizzo IPv4. L'utilizzo di indirizzi IPv6 per identificare l'host non è supportato.
- I certificati identificano in genere l'host nell'attributo SAN (Subject Alternative Name). Alcune autorità di certificazione emettono certificati che identificano l'host nel valore Nome comune (CN) dell'attributo Nome oggetto.Site Recovery Manageraccetta certificati che identificano l'host nel valore CN, ma questa non è la procedura consigliata. Per informazioni sulle procedure consigliate di SAN e CN, vedere l'articolo RFC 6125 di Internet Engineering Task Force (IETF) all'indirizzo https://tools.ietf.org/html/rfc6125.
- L'identificatore dell'host nel certificato deve corrispondere all'indirizzo dell'host localeServer di Site Recovery Managerspecificato quando si installaSite Recovery Manager.