Jump to content

Wie zertifikatsbasierte Replikation in Hyper-V


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi zusammen,

 

unter den Replikationseinstellungen kann ich ja zwischen Kerberos http Port 80 und Zertifikat 443 auswählen. Jetzt stellt sich mir die Frage, welches Zertifikat ich da nehmen kann, bzw. muss. Klicke ich auf "select certificate" bekommen ich die Meldung wie im Screenshot.

 

Muss ich dann nicht nur in dem Quell Hyper-V ein Zertifikat installieren, sondern auch auf dem Target Hyper-V?

 

Ciao, todde_hb

 

2018-04-18 13_16_45-CTC-Host3 - TeamViewer.png

Link zu diesem Kommentar

Hi,

 

wie sieht denn deine Umgebung aus? Sind die Hyper-Vs in einer Domäne oder Workgroup? Gibt es eine CA? Ansonsten steht ja eigentlich alles in der Meldung. ;-)

Du brauchst die Zertifikatskette und ein gültiges Zertifikat (für den Primary und den Replica) mit dem entsprechenden FQDN als CN oder SAN.

 

Kurz und schmerzlos für z.B. ein LAB: https://blogs.technet.microsoft.com/virtualization/2013/04/13/hyper-v-replica-certificate-based-authentication-makecert/

 

Gruß

Jan

Link zu diesem Kommentar

Hi,

 

ja, die beiden Server sind durch ein unsicheres Netz separiert. Ich bin mal nach der Anleitung aus obigen links vorgegangen und habe auf dem Replication-Client (nicht in der Domäne) Eine CSR erstellt. Diese ist auch gültig lt. https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp .

 

Reiche ich nun das CSR auf der Domänen CA ein, erhalte ich diese Fehlermeldung. Habe mal nach dem Fehler geggogelt und bin hierauf gestossen https://www.experts-exchange.com/questions/28217522/Issue-certificate.html

 

Dort heisst es , man solle bei den Certificate Templates das Webserver Template anpassen, nämlich den Computer unter dem Tab Security eintragen. Welcher Computer ist den damit geimeint? Der Server auf dem die CA läuft? Habe diesen mal eingetragen, wie im Screenshot 02 zu sehen, aber der Fehler bleibt bestehen.

 

 

 

01.png

02.png

Link zu diesem Kommentar

Dann gib doch das zu verwendende Template einfach auf der CA mit an.

certreq -attrib "CertificateTemplate:Template-Name" -submit

Und ja, man sollte nicht mit den Default Templates arbeiten. Aber wenn du an der Stelle jetzt noch anfängst, dann wäre meine Empfehlung doch, sich etwas ausführlicher mit dem Thema (PKI, Hyper-V usw.) als nur die gerade auf den Nägeln brennenden Fragen im Forum zu klären.

 

Bye

Norbert

Link zu diesem Kommentar

@NorbertFe

 

Im Prinzip gebe ich da da absolut recht :thumb1: Aber, learning by doing ist doch nicht ganz so schlecht ;-) Den certreq Befehl hab ich tatsächlich auch gerade bei google gefunden und konnte so ein Certificate ausstellen und es auf dem Hyper-V Client importieren, jedoch findet Hyper-V es nicht, obwohl es sich im personal store befindet. Ich nehme mal an, dass das Template, welches ich zum signieren benutzt habe, also "WebServer" nicht ganz das richtige ist. Bietet dies überhaupt Client/Computer Authentifizierung? Welches muss/soll man denn da nehmen? Nehme ich das gleiche Template, welches Domänenclients verwenden, dann erhalte ich beim signieren einen Fehler, wie im Screenshot zu sehen ist.

03.png

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...