vSphere Replication 可以验证 vCenter Server 和远程 vSphere Replication 服务器的证书。
vCenter Server、本地 vSphere Replication 设备和远程 vSphere Replication 设备之间的所有通信都在端口 80 通过 vCenter Server 代理进行。所有 SSL 流量通过隧道传输。
vSphere Replication 既可以通过验证证书有效性及其指纹,也可以仅通过验证指纹,来信任远程服务器证书。默认情况下仅通过指纹验证。在上载证书时通过选择仅接受由可信 CA 签署的 SSL 证书,可以在 vSphere Replication 设备的虚拟设备管理界面 (VAMI) 中激活证书有效性验证。
- 指纹验证
-
vSphere Replication 检查指纹是否匹配。如果 vSphere Replication 可以通过安全的 vSphere 平台通道验证指纹,或在极少数情况下经由用户确认指纹后,它将信任远程服务器证书。vSphere Replication 在验证证书时才会考虑证书指纹,不会检查证书有效性。
- 验证指纹和证书有效性
-
vSphere Replication 会检查指纹以及所有服务器证书是否有效。如果选择仅接受由可信 CA 签署的 SSL 证书选项,则 vSphere Replication 将拒绝与证书无效的服务器通信。在验证证书有效性时,vSphere Replication 会检查过期日期、主体名称和证书颁发机构。
在这两种模式下,vSphere Replication 都会从 vCenter Server 中检索指纹。如果自动确定的指纹和在与各自服务器通信过程中检测到的实际指纹不同,则 vSphere Replication 将拒绝与相应服务器通信。
可以在不同站点上的 vSphere Replication 设备之间混用信任模式。即使将一对 vSphere Replication 设备配置为使用不同的信任模式,它们仍可以成功运行。
