Jump to content

windows server core cert anfordern für admin center von ca


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich würde gerne auf einem Server Core ein Zertifikat von meiner eigenen CA beantragen um dort das Admin Center installieren zu können.

 

Daten:

Domäne: Lab01.Home

DC: dc01.lab01.home

CA: ca01.lab01.home (Wurde nach dieser Anleitung eingerichtet: https://www.youtube.com/watch?v=qicR-fhkPwI nur 1 Ebene!)

AdminCenter: admc01.lab01.home

OS: Server 2019, außer dem AD sind das alles VMs.

 

Bei einigen Anleitungen habe ich gesehen das man das mit der MMC machen kann, diese ist allerdings nicht lokal im server core verfügbar und remote ist der Button um ein Zertifikat anzufordern MMC nicht verfügbar.

 

Also bleibt mir nur die cmd (oder besser gesagt Powershell):

https://docs.microsoft.com/en-us/powershell/module/pkiclient/get-certificate?view=win10-ps

 

Jetzt hätte ich zu dem Beispielbefehl dort ein paar Fragen:

 

PS C:\>Get-Certificate -Template SslWebServer -DnsName www.contoso.com,www.fabrikam.com -Url https://www.contoso.com/Policy/service.svc -Credential $up -CertStoreLocation cert:\LocalMachine\My

1: Bei Template muss ich vermutlich das "computer" Template nehmen, da das Admin Center ja kein Webserver ist.

2: Ich verstehe nicht so ganz den -Url Parameter, hat das was mit dem Feature zutun wo man über die Webseite Zertifikate beantragen kann? Wie in der Anleitung oben habe ich dieses Feature nicht installiert. Wird das benötigt? Oder lasse ich das einfach dann bei meinem Befehl weg?

3: Warum stehen bei -DnsName in dem Beispiel 2 Domänennamen? Da müsste ich dann wohl nur mein Lab01.Home reinhauen?

 

Danke für Eure Hilfe!

Link zu diesem Kommentar
vor 18 Minuten schrieb Clawhammer:

2: Ich verstehe nicht so ganz den -Url Parameter, hat das was mit dem Feature zutun wo man über die Webseite Zertifikate beantragen kann? Wie in der Anleitung oben habe ich dieses Feature nicht installiert. Wird das benötigt? Oder lasse ich das einfach dann bei meinem Befehl weg?

Die URL ist tatsächlich für den Certificate Enrollment Service. Wenn Du DCOM nutzen willst, musst Du dort einen LDAP-Pfad angeben.

Link zu diesem Kommentar

Hi,

 

losgelöst vom Problem: Warum Server Core? Du merkst ja grade, dass die Konfiguration schon "holprig" ist. Das wird im Troubleshooting durchaus nicht weniger "holprig" mit dem Unterschied, dass beim Troubleshooten einem öfters mal die Zeit im Nacken sitzt.

 

Wirklich (große) Vorteile hast du meiner Meinung nach mit Server Core nicht.

 

Gruß

Jan

Link zu diesem Kommentar

Ja, ich habe testweise noch einen anderen Server hochgezogen um mal mit Grafische Oberfläche zu testen. Dort ist zwar der Menupunkt in der MMC verfügbar, aber die Vorlagen sind gesperrt. Wenn ich auf dem CA die Vorlagen verwalten will bekomme ich die angehängte Meldung mit Objektkennungsliste konnte nicht erstellt werden O.o Bin als Domänenadmin angemeldet.

Vorlagen.png

 

anderesSys.png

 

Und warum Server Core? Wollte das Admin Center mal testen, geht zwar auch mit dem 60 Tage Zertifikat, aber wenn das abläuft dann kann man das Admin Center nicht mehr benutzen.

bearbeitet von Clawhammer
Link zu diesem Kommentar

  

vor 7 Minuten schrieb Clawhammer:

Und warum Server Core? Wollte das Admin Center mal testen, geht zwar auch mit dem 60 Tage Zertifikat, aber wenn das abläuft dann kann man das Admin Center nicht mehr benutzen.

Das spricht aber doch weder für noch gegen Core / GUI.

 

vor 7 Minuten schrieb Clawhammer:

Bin als Domänenadmin angemeldet.

Heißt der zufällig "Administrator" bzw. genau so wie auch der lokale Administrator des Servers und du bist evtl. gar nicht Manuel Neuer lokal angemeldet?

bearbeitet von testperson
Link zu diesem Kommentar
vor 14 Minuten schrieb Clawhammer:

Jo, Tatsache war als Lokaler Admin angemeldet... :rofl:

Noch mal ein wenig OT: Auch wenn es eine Testumgebung ist oder grade weil es eine Testumgebung ist, gewöhne dir "einfach" den/die Built-In-Admin/s und auch den/einen "Domänen-Admin" ab. Mitglieder der Domain-Admins sollten lediglich zur Verwaltung der Domain-Controller genutzt werden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...