windows server core cert anfordern für admin center von ca

[Clawhammer 12]

Hallo zusammen,

 

ich würde gerne auf einem Server Core ein Zertifikat von meiner eigenen CA beantragen um dort das Admin Center installieren zu können.

 

Daten:

Domäne: Lab01.Home

DC: dc01.lab01.home

CA: ca01.lab01.home (Wurde nach dieser Anleitung eingerichtet: https://www.youtube.com/watch?v=qicR-fhkPwI nur 1 Ebene!)

AdminCenter: admc01.lab01.home

OS: Server 2019, außer dem AD sind das alles VMs.

 

Bei einigen Anleitungen habe ich gesehen das man das mit der MMC machen kann, diese ist allerdings nicht lokal im server core verfügbar und remote ist der Button um ein Zertifikat anzufordern MMC nicht verfügbar.

 

Also bleibt mir nur die cmd (oder besser gesagt Powershell):

https://docs.microsoft.com/en-us/powershell/module/pkiclient/get-certificate?view=win10-ps

 

Jetzt hätte ich zu dem Beispielbefehl dort ein paar Fragen:

 

PS C:\>Get-Certificate -Template SslWebServer -DnsName www.contoso.com,www.fabrikam.com -Url https://www.contoso.com/Policy/service.svc -Credential $up -CertStoreLocation cert:\LocalMachine\My

1: Bei Template muss ich vermutlich das "computer" Template nehmen, da das Admin Center ja kein Webserver ist.

2: Ich verstehe nicht so ganz den -Url Parameter, hat das was mit dem Feature zutun wo man über die Webseite Zertifikate beantragen kann? Wie in der Anleitung oben habe ich dieses Feature nicht installiert. Wird das benötigt? Oder lasse ich das einfach dann bei meinem Befehl weg?

3: Warum stehen bei -DnsName in dem Beispiel 2 Domänennamen? Da müsste ich dann wohl nur mein Lab01.Home reinhauen?

 

Danke für Eure Hilfe!

[NorbertFe 2.089]

vor 8 Minuten schrieb Clawhammer:

Bei Template muss ich vermutlich das "computer" Template nehmen, da das Admin Center ja kein Webserver ist.

Das template ist im allgemeinen relativ egal solange die notwendigen Verwendungszwecke enthalten sind. ;) da stehen zwei Namen weil zwei Sans benötigt werden. 

[cj_berlin 1.342]

vor 3 Minuten schrieb NorbertFe:

Das template ist im allgemeinen relativ egal solange die notwendigen Verwendungszwecke enthalten sind. ;) da stehen zwei Namen weil zwei Sans benötigt werden. 

...aber das Template mit diesem Namen muss halt vorhanden sein

[NorbertFe 2.089]

Ja klar, aber das darf auch pusteblumenwiese heißen :p

[cj_berlin 1.342]

vor 18 Minuten schrieb Clawhammer:

2: Ich verstehe nicht so ganz den -Url Parameter, hat das was mit dem Feature zutun wo man über die Webseite Zertifikate beantragen kann? Wie in der Anleitung oben habe ich dieses Feature nicht installiert. Wird das benötigt? Oder lasse ich das einfach dann bei meinem Befehl weg?

Die URL ist tatsächlich für den Certificate Enrollment Service. Wenn Du DCOM nutzen willst, musst Du dort einen LDAP-Pfad angeben.

[testperson 1.728]

Hi,

 

losgelöst vom Problem: Warum Server Core? Du merkst ja grade, dass die Konfiguration schon "holprig" ist. Das wird im Troubleshooting durchaus nicht weniger "holprig" mit dem Unterschied, dass beim Troubleshooten einem öfters mal die Zeit im Nacken sitzt.

 

Wirklich (große) Vorteile hast du meiner Meinung nach mit Server Core nicht.

 

Gruß

Jan

[Clawhammer 12]

Ja, ich habe testweise noch einen anderen Server hochgezogen um mal mit Grafische Oberfläche zu testen. Dort ist zwar der Menupunkt in der MMC verfügbar, aber die Vorlagen sind gesperrt. Wenn ich auf dem CA die Vorlagen verwalten will bekomme ich die angehängte Meldung mit Objektkennungsliste konnte nicht erstellt werden O.o Bin als Domänenadmin angemeldet.

 

 

Und warum Server Core? Wollte das Admin Center mal testen, geht zwar auch mit dem 60 Tage Zertifikat, aber wenn das abläuft dann kann man das Admin Center nicht mehr benutzen.

bearbeitet 9. Januar 2021 von Clawhammer

[cj_berlin 1.342]

Häh? Aber das Admin Center geht doch wunderbar auf einem Server mit GUI???

Ich bin verwirrt,

Wenn die Vorlagen fehlen, musst Du sie zuerst auf der CA veröffentlichen.

[Clawhammer 12]

vor 4 Minuten schrieb cj_berlin:

Häh? Aber das Admin Center geht doch wunderbar auf einem Server mit GUI???

Ich bin verwirrt,

Jo hast recht, hab gerade mal ein anderes Serversystem hochgezogen mit GUI, da gibt aber auch Fehler siehe Post über dir :-/

bearbeitet 9. Januar 2021 von Clawhammer

[testperson 1.728]

  

vor 7 Minuten schrieb Clawhammer:

Und warum Server Core? Wollte das Admin Center mal testen, geht zwar auch mit dem 60 Tage Zertifikat, aber wenn das abläuft dann kann man das Admin Center nicht mehr benutzen.

Das spricht aber doch weder für noch gegen Core / GUI.

 

vor 7 Minuten schrieb Clawhammer:

Bin als Domänenadmin angemeldet.

Heißt der zufällig "Administrator" bzw. genau so wie auch der lokale Administrator des Servers und du bist evtl. gar nicht Manuel Neuer lokal angemeldet?

bearbeitet 9. Januar 2021 von testperson

[Clawhammer 12]

Jo, Tatsache war als Lokaler Admin angemeldet...

 

Jetzt kann ich auf dem CA die Templates verwalten. Allerdings kann ich von meinem neuen Testserver nach wie vor nicht das Zertifikat beantragen, da kommt nach wie vor dies hier:

[cj_berlin 1.342]

Du hast die Konsole "Aktueller Benutzer" (certmgr.msc) offen. Damit kannst Du keine Computer-Zertifikate beantragen.

Öffne mal certlm.msc und schau, was dann passiert.

bearbeitet 9. Januar 2021 von cj_berlin

[Clawhammer 12]

Da steht das selbe drin, keines der Vorlagen ist verfügbar.

bearbeitet 9. Januar 2021 von Clawhammer

[cj_berlin 1.342]

vor 3 Minuten schrieb Clawhammer:

Da steht das selbe drin, keines der Vorlagen ist verfügbar.

Und sind die Vorlagen

a. auf der CA veröffentlicht?

b. für "Domänencomputer" mit der Berechtigung "Enroll" versehen?

[testperson 1.728]

vor 14 Minuten schrieb Clawhammer:

Jo, Tatsache war als Lokaler Admin angemeldet...

Noch mal ein wenig OT: Auch wenn es eine Testumgebung ist oder grade weil es eine Testumgebung ist, gewöhne dir "einfach" den/die Built-In-Admin/s und auch den/einen "Domänen-Admin" ab. Mitglieder der Domain-Admins sollten lediglich zur Verwaltung der Domain-Controller genutzt werden.