Site Recovery ManagervCenter Server 实例之间的所有通信都通过 SSL 连接进行,并且由公用密钥证书或存储的凭据进行身份验证。

安装 Site Recovery Manager Server 时,必须选择基于凭据的身份验证或基于自定义证书的身份验证。默认情况下,Site Recovery Manager 使用基于凭据的身份验证,但也可以选择基于自定义证书的身份验证。安装 Site Recovery Manager Server 时选择的身份验证方法可用于对受保护站点和恢复站点中的 Site Recovery Manager Server 实例之间的连接以及 Site Recovery ManagervCenter Server 之间的连接进行身份验证。

重要:

不允许在不同站点中的 Site Recovery Manager Server 实例之间以及 Site Recovery ManagervCenter Server 之间混用身份验证方法。

基于凭据的身份验证

这是 Site Recovery Manager 使用的默认身份验证方法。如果要使用基于凭据的身份验证,则 Site Recovery Manager 会存储在安装过程中指定的用户名和密码,然后在连接到 vCenter Server 时使用这些凭据。Site Recovery Manager 还会创建专用证书,供其自身使用。此证书包括在安装过程中提供的其他信息。

注:

尽管在您选择基于凭据的身份验证时 Site Recovery Manager 会创建并使用此专用证书,但基于凭据的身份验证在安全或操作简便方面都与基于证书的身份验证不等同。

基于自定义证书的身份验证

如果您已拥有或可获取由可信证书颁发机构 (CA) 签名的 PKCS#12 证书,请使用基于自定义证书的身份验证。由可信 CA 签署的公用密钥证书简化了许多 Site Recovery Manager 操作,并提供了最高安全级别。Site Recovery Manager 使用的自定义证书具有特殊要求。请参见将受信任的 SSL 证书与 Site Recovery Manager 结合使用时的要求

如果要使用基于自定义证书的身份验证,则必须同时在受保护站点和恢复站点上使用 vCenter ServerSite Recovery Manager Server 实例信任的 CA 签署的证书。如果将两个 CA 作为受信任的根 CA 安装在这两个站点上,则可以在每个站点上使用不同 CA 签署的证书。

如果证书已过期且您尝试启动或重新启动 Site Recovery Manager Server,则 Site Recovery Manager 服务将启动,然后停止。如果在 Site Recovery Manager 运行时证书过期,则 Site Recovery Manager 无法与 vCenter Server 建立会话,并将显示为断开状态。

证书警告

如果使用的是基于凭据的身份验证,则在 Site Recovery Manager Server 初次尝试连接到 vCenter Server 时会生成证书警告,因为 SSL 无法验证由 Site Recovery ManagervCenter Server 创建的专用证书所声明的信任关系。通过警告,可以验证其他服务器使用的证书的指纹并确认其标识。要避免这些警告,请使用基于证书的身份验证,并从受信任证书颁发机构获取证书。