Jump to content

windows server core cert anfordern für admin center von ca


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich würde gerne auf einem Server Core ein Zertifikat von meiner eigenen CA beantragen um dort das Admin Center installieren zu können.

 

Daten:

Domäne: Lab01.Home

DC: dc01.lab01.home

CA: ca01.lab01.home (Wurde nach dieser Anleitung eingerichtet: https://www.youtube.com/watch?v=qicR-fhkPwI nur 1 Ebene!)

AdminCenter: admc01.lab01.home

OS: Server 2019, außer dem AD sind das alles VMs.

 

Bei einigen Anleitungen habe ich gesehen das man das mit der MMC machen kann, diese ist allerdings nicht lokal im server core verfügbar und remote ist der Button um ein Zertifikat anzufordern MMC nicht verfügbar.

 

Also bleibt mir nur die cmd (oder besser gesagt Powershell):

https://docs.microsoft.com/en-us/powershell/module/pkiclient/get-certificate?view=win10-ps

 

Jetzt hätte ich zu dem Beispielbefehl dort ein paar Fragen:

 

PS C:\>Get-Certificate -Template SslWebServer -DnsName www.contoso.com,www.fabrikam.com -Url https://www.contoso.com/Policy/service.svc -Credential $up -CertStoreLocation cert:\LocalMachine\My

1: Bei Template muss ich vermutlich das "computer" Template nehmen, da das Admin Center ja kein Webserver ist.

2: Ich verstehe nicht so ganz den -Url Parameter, hat das was mit dem Feature zutun wo man über die Webseite Zertifikate beantragen kann? Wie in der Anleitung oben habe ich dieses Feature nicht installiert. Wird das benötigt? Oder lasse ich das einfach dann bei meinem Befehl weg?

3: Warum stehen bei -DnsName in dem Beispiel 2 Domänennamen? Da müsste ich dann wohl nur mein Lab01.Home reinhauen?

 

Danke für Eure Hilfe!

Link to post
vor 8 Minuten schrieb Clawhammer:

Bei Template muss ich vermutlich das "computer" Template nehmen, da das Admin Center ja kein Webserver ist.

Das template ist im allgemeinen relativ egal solange die notwendigen Verwendungszwecke enthalten sind. ;) da stehen zwei Namen weil zwei Sans benötigt werden. 

Link to post
vor 3 Minuten schrieb NorbertFe:

Das template ist im allgemeinen relativ egal solange die notwendigen Verwendungszwecke enthalten sind. ;) da stehen zwei Namen weil zwei Sans benötigt werden. 

...aber das Template mit diesem Namen muss halt vorhanden sein ;-)

Link to post
vor 18 Minuten schrieb Clawhammer:

2: Ich verstehe nicht so ganz den -Url Parameter, hat das was mit dem Feature zutun wo man über die Webseite Zertifikate beantragen kann? Wie in der Anleitung oben habe ich dieses Feature nicht installiert. Wird das benötigt? Oder lasse ich das einfach dann bei meinem Befehl weg?

Die URL ist tatsächlich für den Certificate Enrollment Service. Wenn Du DCOM nutzen willst, musst Du dort einen LDAP-Pfad angeben.

Link to post

Hi,

 

losgelöst vom Problem: Warum Server Core? Du merkst ja grade, dass die Konfiguration schon "holprig" ist. Das wird im Troubleshooting durchaus nicht weniger "holprig" mit dem Unterschied, dass beim Troubleshooten einem öfters mal die Zeit im Nacken sitzt.

 

Wirklich (große) Vorteile hast du meiner Meinung nach mit Server Core nicht.

 

Gruß

Jan

  • Thanks 1
Link to post
Posted (edited)

Ja, ich habe testweise noch einen anderen Server hochgezogen um mal mit Grafische Oberfläche zu testen. Dort ist zwar der Menupunkt in der MMC verfügbar, aber die Vorlagen sind gesperrt. Wenn ich auf dem CA die Vorlagen verwalten will bekomme ich die angehängte Meldung mit Objektkennungsliste konnte nicht erstellt werden O.o Bin als Domänenadmin angemeldet.

Vorlagen.png

 

anderesSys.png

 

Und warum Server Core? Wollte das Admin Center mal testen, geht zwar auch mit dem 60 Tage Zertifikat, aber wenn das abläuft dann kann man das Admin Center nicht mehr benutzen.

Edited by Clawhammer
  • Confused 1
Link to post
Posted (edited)
vor 4 Minuten schrieb cj_berlin:

Häh? Aber das Admin Center geht doch wunderbar auf einem Server mit GUI???

Ich bin verwirrt,

Jo hast recht, hab gerade mal ein anderes Serversystem hochgezogen mit GUI, da gibt aber auch Fehler siehe Post über dir :-/

Edited by Clawhammer
Link to post

  

vor 7 Minuten schrieb Clawhammer:

Und warum Server Core? Wollte das Admin Center mal testen, geht zwar auch mit dem 60 Tage Zertifikat, aber wenn das abläuft dann kann man das Admin Center nicht mehr benutzen.

Das spricht aber doch weder für noch gegen Core / GUI.

 

vor 7 Minuten schrieb Clawhammer:

Bin als Domänenadmin angemeldet.

Heißt der zufällig "Administrator" bzw. genau so wie auch der lokale Administrator des Servers und du bist evtl. gar nicht Manuel Neuer lokal angemeldet?

Edited by testperson
Link to post
vor 14 Minuten schrieb Clawhammer:

Jo, Tatsache war als Lokaler Admin angemeldet... :rofl:

Noch mal ein wenig OT: Auch wenn es eine Testumgebung ist oder grade weil es eine Testumgebung ist, gewöhne dir "einfach" den/die Built-In-Admin/s und auch den/einen "Domänen-Admin" ab. Mitglieder der Domain-Admins sollten lediglich zur Verwaltung der Domain-Controller genutzt werden.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...