vCenter Server Appliance 在 vCenter Single Sign-On 级别处理 Site Recovery Manager 和 vCenter Server 之间的身份验证。
Site Recovery Manager 和 vCenter Server 实例之间的所有通信都通过传输层安全 (TLS) 连接进行。先前版本的 Site Recovery Manager 同时支持安全套接字层 (SSL) 和 TLS 连接。由于 SSL 3.0 中已确定的漏洞,此版本 Site Recovery Manager 仅支持 TLS。
解决方案用户身份验证
Site Recovery Manager 使用解决方案用户身份验证与远程服务(例如 vCenter Server)建立安全通信。解决方案用户是 Site Recovery Manager 安装程序生成的安全主体。安装程序向解决方案用户分配专用密钥和证书,并将其注册到 vCenter Single Sign-On 服务。解决方案用户绑定到特定 Site Recovery Manager 实例。无法访问解决方案用户专用密钥或证书。无法将解决方案用户证书替换为自定义证书。
安装后,您将在 vSphere Client 的“系统管理”视图中看到 Site Recovery Manager 解决方案用户。请勿尝试操作 Site Recovery Manager 解决方案用户。解决方案用户供 Site Recovery Manager、vCenter Server 和 vCenter Single Sign-On 内部使用。
在操作过程中,Site Recovery Manager 使用基于证书的身份验证与远程服务建立经过身份验证的通信通道,以便从 vCenter Single Sign-On 获取密钥所有者 SAML 令牌。Site Recovery Manager 以加密签名请求的方式将此令牌发送至远程服务。远程服务会验证令牌并建立解决方案用户的标识。
解决方案用户和 Site Recovery Manager 站点配对
在不使用增强型链接模式的 vCenter Single Sign-On 站点之间配对 Site Recovery Manager 实例时,Site Recovery Manager 将为每个站点的远程站点创建其他解决方案用户。此远程站点解决方案用户允许远程站点的 Site Recovery Manager Server 对本地站点的服务进行身份验证。
在使用增强型链接模式的 vCenter Single Sign-On 环境中配对 Site Recovery Manager 实例时,远程站点的 Site Recovery Manager 会使用相同的解决方案用户对本地站点上的服务进行身份验证。
如果在远程站点上更改解决方案用户或续订解决方案用户证书,则必须重新配置 Site Recovery Manager 站点配对。
Site Recovery Manager SSL/TLS 服务器端点证书
Site Recovery Manager 要求将 SSL/TLS 证书用作与 Site Recovery Manager 之间的所有 TLS 连接的端点证书。Site Recovery Manager 服务器端点证书是独立的证书,并且不同于创建和注册 Site Recovery Manager 解决方案用户时生成的证书。
有关 Site Recovery Manager SSL/TLS 端点证书的信息,请参见创建 Site Recovery Manager 的 SSL/TLS 服务器端点证书。