Wie zertifikatsbasierte Replikation in Hyper-V

[todde_hb 4]

Hi zusammen,

 

unter den Replikationseinstellungen kann ich ja zwischen Kerberos http Port 80 und Zertifikat 443 auswählen. Jetzt stellt sich mir die Frage, welches Zertifikat ich da nehmen kann, bzw. muss. Klicke ich auf "select certificate" bekommen ich die Meldung wie im Screenshot.

 

Muss ich dann nicht nur in dem Quell Hyper-V ein Zertifikat installieren, sondern auch auf dem Target Hyper-V?

 

Ciao, todde_hb

 

[testperson 1.677]

Hi,

 

wie sieht denn deine Umgebung aus? Sind die Hyper-Vs in einer Domäne oder Workgroup? Gibt es eine CA? Ansonsten steht ja eigentlich alles in der Meldung.

Du brauchst die Zertifikatskette und ein gültiges Zertifikat (für den Primary und den Replica) mit dem entsprechenden FQDN als CN oder SAN.

 

Kurz und schmerzlos für z.B. ein LAB: https://blogs.technet.microsoft.com/virtualization/2013/04/13/hyper-v-replica-certificate-based-authentication-makecert/

 

Gruß

Jan

[NilsK 2.934]

Moin,

 

das Zertifikat musst du dann in den Zertifikatsspeicher des Computerkontos einbinden. Da die Replikation im Zweifel ja eine beidseitige Angelegenheit ist, müssen beide Hosts je ein Zertifikat haben.

 

Gruß, Nils

 

[todde_hb 4]

Hi, 

 

Das dumme ist, dass der Replikation Host in der Domäne mit CA ist, der Replication Client nicht. Das lässt sich wohl auch nicht ändern. 

[NilsK 2.934]

Moin,

 

na und? Dann forderst du für den anderen Host eben manuell ein Zertifikat bei der CA an.

 

Gruß, Nils

 

[todde_hb 4]

@NilsK

 

Ok, aber vom Hyper-V Client ist die CA nicht erreichbar und daher ist Webenrollment nicht verfügbar. Wie kann ich denn manuell in eine Textdatei ein CSR generieren? 

[NorbertFe 2.034]

Nabend... ich poste mal nur zwei der ersten Treffer in Google. ;)

https://4sysops.com/archives/create-a-certificate-request-with-powershell/

https://www.sslplus.de/wiki/CSR-Erstellung_MS_Windows_(mit_certreq)#Erstellung_Certificate_Signing_Request_.28CSR.29

bearbeitet 18. April 2018 von NorbertFe

[magheinz 110]

laufen die Daten denn durch ein nicht vertrauenswürdiges Netz? Ist das alles überhaupt notwendig(ich kenne hyperv nicht)?

[testperson 1.677]

 

laufen die Daten denn durch ein nicht vertrauenswürdiges Netz? Ist das alles überhaupt notwendig(ich kenne hyperv nicht)?

Kerberos geht halt nur mit Domain-joined Hyper-Vs. Was hier scheinbar nur auf den Primary zutrifft.

bearbeitet 19. April 2018 von testperson

[magheinz 110]

kann man nicht beide Optionen weglassen oder muss mind. eine aktiv sein?

[mwiederkehr 373]

 

kann man nicht beide Optionen weglassen oder muss mind. eine aktiv sein?

Die Authentifizierung geht nur über Kerberos (in Domäne) oder über Zertifikate (ohne Domäne). Es gibt leider keine Möglichkeit, einfach Benutzername/Passwort für die Replikation einzutragen.

[magheinz 110]

Ah so, wieder was gelernt...

[todde_hb 4]

Hi,

 

ja, die beiden Server sind durch ein unsicheres Netz separiert. Ich bin mal nach der Anleitung aus obigen links vorgegangen und habe auf dem Replication-Client (nicht in der Domäne) Eine CSR erstellt. Diese ist auch gültig lt. https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp .

 

Reiche ich nun das CSR auf der Domänen CA ein, erhalte ich diese Fehlermeldung. Habe mal nach dem Fehler geggogelt und bin hierauf gestossen https://www.experts-exchange.com/questions/28217522/Issue-certificate.html

 

Dort heisst es , man solle bei den Certificate Templates das Webserver Template anpassen, nämlich den Computer unter dem Tab Security eintragen. Welcher Computer ist den damit geimeint? Der Server auf dem die CA läuft? Habe diesen mal eingetragen, wie im Screenshot 02 zu sehen, aber der Fehler bleibt bestehen.

 

 

 

[NorbertFe 2.034]

Dann gib doch das zu verwendende Template einfach auf der CA mit an.

certreq -attrib "CertificateTemplate:Template-Name" -submit

Und ja, man sollte nicht mit den Default Templates arbeiten. Aber wenn du an der Stelle jetzt noch anfängst, dann wäre meine Empfehlung doch, sich etwas ausführlicher mit dem Thema (PKI, Hyper-V usw.) als nur die gerade auf den Nägeln brennenden Fragen im Forum zu klären.

 

Bye

Norbert

[todde_hb 4]

@NorbertFe

 

Im Prinzip gebe ich da da absolut recht  Aber, learning by doing ist doch nicht ganz so schlecht  Den certreq Befehl hab ich tatsächlich auch gerade bei google gefunden und konnte so ein Certificate ausstellen und es auf dem Hyper-V Client importieren, jedoch findet Hyper-V es nicht, obwohl es sich im personal store befindet. Ich nehme mal an, dass das Template, welches ich zum signieren benutzt habe, also "WebServer" nicht ganz das richtige ist. Bietet dies überhaupt Client/Computer Authentifizierung? Welches muss/soll man denn da nehmen? Nehme ich das gleiche Template, welches Domänenclients verwenden, dann erhalte ich beim signieren einen Fehler, wie im Screenshot zu sehen ist.