Der Platform Services Controller handhabt die Authentifizierung zwischen Site Recovery Manager und vCenter Server auf der vCenter Single Sign On-Ebene.

Die gesamte Kommunikation zwischen Site Recovery Manager und vCenter Server-Instanzen wird über Transport Layer Security (TLS)-Verbindungen abgewickelt. Bei Vorgängerversionen von Site Recovery Manager wurden sowohl Secure Sockets Layer (SSL)- als auch TLS-Verbindungen unterstützt. Diese Version von Site Recovery Manager unterstützt aufgrund von in SSL 3.0 ausgemachten Schwachstellen nur TLS.

Lösungsbenutzer-Authentifizierung

In Site Recovery Manager 5.x verwendete man zur Authentifizierung mit vCenter Server entweder die auf Anmeldedaten basierende oder die zertifikatsbasierte Authentifizierungsmethode. Site Recovery Manager 6.x verwendet die Lösungsbenutzer-Authentifizierung zur Herstellung einer sicheren Kommunikation mit Remotediensten wie dem Platform Services Controller und vCenter Server. Ein Lösungsbenutzer ist ein Sicherheitsprinzipal, der von dem Site Recovery Manager-Installationsprogramm generiert wird. Das Installationsprogramm weist dem Lösungsbenutzer einen privaten Schlüssel und ein Zertifikat zu, und registriert dieses beim vCenter Single Sign On-Dienst. Der Lösungsbenutzer ist an eine bestimmte Site Recovery Manager-Instanz gebunden. Sie haben auf den privaten Schlüssel oder das Zertifikat des Lösungsbenutzers keinen Zugriff. Sie können das Zertifikat des Lösungsbenutzers durch kein benutzerdefiniertes Zertifikat ersetzen.

Nach der Installation sehen Sie den Lösungsbenutzer von Site Recovery Manager in der Administratoransicht des vSphere Web Client. Versuchen Sie nicht, den Site Recovery Manager-Lösungsbenutzer zu bearbeiten. Der Lösungsbenutzer ist der internen Verwendung durch Site Recovery Manager, vCenter Server und vCenter Single Sign On vorbehalten.

Während des Betriebs richtet Site Recovery Manager mittels zertifikatsbasierter Authentifizierung authentifizierte Kommunikationskanäle zu Remote-Diensten ein, um von vCenter Single Sign On ein SAML-Token des Typs 'holder-of-key' zu beziehen. Site Recovery Manager sendet dieses Token in einer verschlüsselt signierten Anforderung an den Remote-Dienst. Der Remote-Dienst validiert das Token und legt die Identität des Lösungsbenutzers fest.

Lösungsbenutzer und Site Recovery Manager-Site-Kopplung

Wenn Sie Site Recovery Manager-Instanzen auf mehreren vCenter Single Sign On-Sites koppeln, die nicht den erweiterten verknüpften Modus verwenden, erstellt Site Recovery Manager einen zusätzlichen Lösungsbenutzer für die Remote-Site auf jeder Site. Dieser Lösungsbenutzer für die Remote-Site ermöglicht dem Site Recovery Manager Server auf der Remote-Site die Authentifizierung bei Diensten auf der lokalen Site.

Wenn Sie Site Recovery Manager-Instanzen in einer vCenter Single Sign On-Umgebung mit dem erweiterten verknüpften Modus koppeln, verwendet Site Recovery Manager auf der Remote-Site denselben Lösungsbenutzer, um sich bei Diensten auf der lokalen Site zu authentifizieren.

SSL/TLS-Server-Endpunkt-Zertifikate für Site Recovery Manager

Site Recovery Manager erfordert ein SSL/TLS-Zertifikat, das zur Verwendung als Endpunkt-Zertifikat für alle mit Site Recovery Manager hergestellten TLS-Verbindungen dient. Das Server-Endpunkt-Zertifikat für Site Recovery Manager ist ein eigenständiges Zertifikat, das sich von dem Zertifikat, das bei der Erstellung eines Site Recovery Manager-Lösungsbenutzers generiert wird, unterscheidet.

Informationen zum SSL/TLS-Endpunkt-Zertifikat für Site Recovery Manager finden Sie unter Erstellen von SSL/TLS-Server-Endpunkt-Zertifikaten für Site Recovery Manager.