Site Recovery Manager でカスタム SSL/TLS 証明書を使用する際の要件
Site Recovery Manager
でカスタム SSL/TLS 証明書を使用する際の要件Site Recovery Manager
サーバのエンドポイント証明書にカスタムの SSL/TLS 証明書を使用する場合、証明書は特定の基準を満たす必要があります。
Site Recovery Manager
8.x は、標準の PKCS#12 証明書を使用します。Site Recovery Manager
では、これらの証明書の内容についての要件がいくつか設けられています。
- Site Recovery Managerは、MD5 署名アルゴリズムを使用した証明書を受け入れません。SHA256 か、それよりも強力な署名アルゴリズムを使用してください。
- デフォルトで、Site Recovery Managerは SHA-1 署名アルゴリズムを使用した証明書を受け入れません。SHA256 か、それよりも強力な署名アルゴリズムを使用してください。
- Site Recovery Manager証明書は信頼チェーンのルートではありません。信頼チェーンのルートではなくても、CA 証明書の 1 つである、中間 CA 証明書を使用できます。
- vCenter Serverにカスタム証明書を使用する場合に、Site Recovery Managerにもカスタム証明書を使用する必要はありません。その逆も同様です。
- PKCS #12 ファイルのプライベート キーは証明書と一致する必要があります。プライベート キーの長さは 2048 ビット以上にする必要があります。
- Site Recovery Manager証明書のパスワードは、31 文字を超えてはいけません。
- 現在時刻は証明書の有効期間内にする必要があります。
- 証明書はサーバ証明書で、x509v3 の Extended Key Usage で TLS Web Server Authentication と指定されている必要があります。
- 証明書には、extendedKeyUsageおよびenhancedKeyUsage属性が含まれていて、値がserverAuthである必要があります。
- 証明書が同時にクライアント証明書であることは要求されません。clientAuthの値は必須ではありません。
- Subject Name は空白でない必要があり、4096 文字以内にする必要があります。今回のリリースでは、Subject Name はSite Recovery Manager サーバのペアの両方と同じにする必要はありません。
- 証明書はSite Recovery Manager サーバホストを特定する必要があります。
- Site Recovery Manager サーバホストを特定するには、ホストの完全修飾ドメイン名 (FQDN) を使用する方法が推奨されます。証明書がSite Recovery Manager サーバホストを IP アドレスで特定している場合、IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用したホストの特定はサポートされていません。
- 通常、証明書は Subject Alternative Name (SAN) でホストを特定します。一部の認証局は、Subject Name 属性の Common Name (CN) の値でホストを特定する証明書を発行しています。Site Recovery Managerは、CN 値でホストを特定する証明書を受け入れますが、これはベスト プラクティスではありません。SAN および CN のベスト プラクティスの詳細については、https://tools.ietf.org/html/rfc6125 にある Internet Engineering Task Force (IETF)の RFC 6125 を参照してください。
- 証明書のホストの識別子は、Site Recovery Managerのインストール時に指定したSite Recovery Manager サーバのローカル ホスト アドレスと一致する必要があります。