Meister aller Klassen: Zertifikate leicht gemacht: Teil 2

  • Artikel

Anhand des folgenden Prozesses können Sie relativ einfach benutzerdefinierte Zertifikate erstellen und bereitstellen.

Greg Shields

In meiner Kolumne Oktober 2011 "Zertifikate Made Easy," erklärte ich einfach Schritt für Schritt zum Konfigurieren von Active Directory-Zertifikatdienste (AD CS) und voll vertrauenswürdigen Server-Zertifikate über eine raffinierte Verknüpfung innerhalb von IIS bereitstellen. Diese Verknüpfung-Webserver-Zertifikat reicht für viel verwendet, nicht zuletzt mit Authentifizierung und Verschlüsselung des Webverkehrs ist.

Manchmal aber muss Ihr Zertifikat über das grundlegende Web-Server-Zertifikat hinausgehen. In diesen Tagen sehen Zertifikatanforderungen pop-up überall Sie: Windows PowerShell, System Center, DirectAccess und eine wachsende Liste von Anwendungen von Drittanbietern. Face it: Sie können AD CS nicht länger ignorieren.

So viel wie Sie wollen, es zu hassen, ist AD CS schnell eines dieser Dienste muss in jeder Active Directory-Gesamtstruktur werden. Sobald Sie mit den Grundlagen von AD CS beginnen, werden Sie erkennen, Sie tatsächlich anpassen und einige seiner "anderer" Zertifikate mit Windows Server 2012 bereitstellen können.

Ein Real-World-Beispiel

Wenn Sie die Schritte zum Konfigurieren und bereitstellen, eine Art von benutzerdefiniertes Zertifikat benötigt lernen, können Sie die meisten anderen in ähnlicher Weise erzeugen. Der Unterschied besteht in der Vorlage. Um reale Dinge zu halten, konzentriere ich mich diese Schritt für Schritt Erklärung auf die besonderen Anforderungen bei der Einrichtung von Zert für das neue Windows Server 2012 Hyper-V-Replikat.

AD CS-Konfigurationsschritte erläutert in diesem Oktober 2011 Spalte sind ganz einfach. Sobald Sie das Verfahren befolgt haben, werden Sie eine Enterprise-Root-Zertifizierungsstelle (CA) in Ihrer Domäne hinzugefügt haben. Domäne verbundene Clients sollten auch die CA-Root-Zertifikat automatisch auf Speicher für vertrauenswürdige Stammzertifizierungsstellen, Dank dieser Stammzertifizierungsstelle Active Directory Integration bereitgestellt haben. Sie erhalten dieses Root-Zertifikat benötigen, wenn sie die Zertifikate vertrauenswürdig sind, die Ihre Enterprise Root CA veröffentlicht, sind.

Hyper-V Replica können entweder Kerberos oder zertifikatbasierte Authentifizierung zwischen Replikat-Paaren. Der zweite Ansatz ist erforderlich, wenn Sie den Replikationsverkehr zwischen Hosts verschlüsseln möchten. Es ist auch notwendig, wenn Sie VMs zwischen Hosts, die nicht in derselben Domäne replizieren sind. Der Bildschirm des Hyper-V-Manager-Einstellungen können Sie entweder Option konfigurieren (siehe Abbildung 1).

You can configure your Hyper-V Replica settings.

Abbildung 1 Sie können Ihre Hyper-V Replica-Einstellungen konfigurieren.

Eine übliche Web-Server-Zertifikat erzeugen ist nicht allzu schwierig Dank der praktische Abkürzung IIS. Leider enthalten nicht Webserver-Zertifikate die notwendigen Features, die die Hyper-V Replica zertifikatbasierte Authentifizierung erforderlich ist. Klicken Sie auf Zertifikat auswählen, ohne eine richtig konfigurierte Zertifikat und Sie erhalten eine Fehlermeldung (siehe Abbildung 2).

Hyper-V Replica ensures you’re using properly configured certificates.

Abbildung 2 Hyper-V Replica gewährleistet Sie ordnungsgemäß konfigurierte Zertifikaten verwenden.

Hyper-V Replica Zertifikate müssen sowohl Server- und Clientauthentifizierung mit einen exportierbaren privaten Schlüssel zu unterstützen. Diese Zertifikate haben auch spezielle Anforderungen für ihre Antragstellernamen oder alternativen Antragstellernamen, beschriebenen Praveen Vijayaraghavan in Microsoft Virtualisierung Blog. Zum Einrichten einer Replikation-Beziehung muss das Zertifikat auf dem primären Server die folgenden Bedingungen erfüllen:

  • Erweiterte Schlüsselverwendung (EKU) muss sowohl Client als auch Server-Authentifizierung unterstützen.
  • Legen Sie das Feld "Betreff" oder alternativer Antragstellername mithilfe einer der folgenden Methoden:
    • Legen Sie das Feld "Betreff" auf dem primären Server-Namen, z. B. primary1.contoso.com; Wenn der primäre Server Teil eines Clusters ist, stellen Sie sicher das Feld "Betreff" wird zu den vollständig qualifizierten Domänennamen (FQDN) des Hyper-V Replica Brokers festgelegt (installieren Sie dieses Zertifikat auf allen Knoten des Clusters)
    • Das Feld "Betreff" kann einen Platzhalter enthalten (z. B. *. department.contoso.com)
    • Legen Sie für ein SAN-Zertifikat alternativer Antragstellername DNS-Namen auf den primären Server-Namen, wie primary1.contoso.com; Wenn der primäre Server Teil eines Clusters ist, sollte das Subject Alternative Name des Zertifikats den FQDN des Hyper-V Replica Maklers enthalten (installieren Sie dieses Zertifikat auf allen Knoten des Clusters)

Um einen Server zum Empfangen von Replikationsverkehr zu aktivieren, muss das Zertifikat in der Replikatserver die folgenden Bedingungen erfüllen:

  • EKU muss sowohl Client als auch Server-Authentifizierung unterstützen.
  • Legen Sie das Feld "Betreff" oder alternativer Antragstellername mithilfe einer der folgenden Methoden:
    • Legen Sie für ein SAN-Zertifikat alternativer Antragstellername DNS-Namen auf der Replikat-Servername, z. B. replica1.contoso.com; der Replikatserver Teil eines Clusters ist, muss die Subject Alternative Name des Zertifikats enthalten, den Replikat-Servernamen und den FQDN des Hyper-V Replica Brokers (installieren Sie dieses Zertifikat auf allen Knoten des Clusters)
    • Legen Sie das Feld "Betreff" auf der Replikat-Servername, z. B. replica1.contoso.com; Wenn der Replikatserver Teil eines Clusters ist, sicherzustellen Sie, dass ein Zertifikat mit dem Betrefffeld festgelegt auf den FQDN des Hyper-V Replica Brokers auf allen Knoten des Clusters installiert
    • Das Feld "Betreff" kann enthalten Platzhalter, wie *. department.contoso.com.

Vijayaraghavan's Aussagen sind nützlich, aber sie können auch verwirrend sein, wenn Sie mit AD CS unerfahren sind. Wir erstellen das einfachste mögliche Zertifikat, das Hyper-V Replica Anforderungen gerecht werden.

Erstellen Sie die Zertifikatvorlage

Sie starten alle AD CS-Zertifikate aus einer Vorlage. Genau wie eine Vorlage für virtuelle Maschinen (VM) den Ausgangspunkt für eine VM definiert, definiert eine Zertifikatvorlage die Regeln für alle Zertifikate, die es generiert. Allerdings gibt es keine Vorlage, die Hyper-V Replica Anforderungen out of the Box in AD CS entspricht. Sie müssen Ihre eigenen erstellen. Hier ist, wo die Zertifikat-Anpassung interessant wird.

Starten Sie Zertifizierungsstelle aus der Server-Manager-Tools-Dropdown-Liste klicken Sie auf Zertifikatvorlagen. Sie sehen eine Liste der ausgestellten Zertifikatvorlagen (siehe Abbildung 3). Sie werden hier in einer Minute zurück. Zuerst müssen Sie eine Vorlage erstellen, die Sie ausstellen können.

The Certification Authority console shows you a list of certified templates.

Abbildung 3 der Zertifizierungsstellenkonsole zeigt Ihnen eine Liste der zertifizierten Vorlagen.

Maustaste auf Zertifikatvorlagen. Wählen Sie dann verwalten, um die Zertifikat-Vorlagen-Konsole zu starten. Sie wissen bereits, dass jedes Zertifikat aus einer Vorlage beginnt. Sie sollten auch wissen, dass jede Vorlage aus einer anderen Dokumentvorlage beginnt. Diese Vorlagen sind finden Sie in der Konsolenansicht (siehe Abbildung 4).

The Certificate Templates Console has the templates you’ll need.

Abbildung 4 die Zertifikatvorlagenkonsole hat die Vorlagen, die Sie benötigen.

Die Computer-Vorlage bietet einen guten Ausgangspunkt für ein Hyper-V Replica-Zertifikat, also Maustaste auf Computer und wählen Sie Doppelte Vorlage. Dabei wird einen Eigenschaften-Bildschirm für die neue Vorlage. Für Ihre einfache Hyper-V Replica-Zertifikat können Sie die meisten dieser Registerkarten ignorieren, aber Sie müssen ein paar von ihnen anzupassen.

Unter der Registerkarte "Allgemein" (siehe Abbildung 5), etwas später Sie erkennen Anzeigenamen den Vorlage zu ändern. Sie können auch die Gültigkeitsdauer und Erneuerungszeitraum ändern, wenn Sie es wünschen. Überprüfen Sie markiert das Feld "Zertifikat in Active Directory veröffentlichen." Auf diese Weise können Sie diese später mit dem Active Directory-Registrierungsrichtlinie Ihre CA Zertifikat anfordern. Dies ist bereits standardmäßig eingerichtet.

The General tab lets you change general settings.

Abbildung 5 der Registerkarte Allgemein können Sie allgemeine Einstellungen ändern.

Du musst ein Hyper-V Replica-Zertifikat um seinen privaten Schlüssel exportieren können konfiguriert werden. Sie können dies mit der Checkbox in der Vorlage, die Registerkarte Anforderungsverarbeitung aktivieren.

Sie haben auch einen Antragstellernamen für das Zertifikat zu identifizieren. Für einfache Webserver-Zertifikate ist diesem Thema Namen meistens dem anfragenden Server FQDN. Sie wollen Ihr Hyper-V Replica-Zertifikat mit einer Vielzahl von Antragstellernamen, arbeiten also unter der Registerkarte Antragstellername der Vorlage wählen zur Versorgung in der Anforderung. Auf diese Weise musst du einen Antragstellernamen oder alternativen Antragstellernamen zu definieren, wie Sie das Zertifikat anfordern.

Es gibt keine Konfiguration, die in der Vorlage auf der Registerkarte Erweiterungen erforderlich. Sie dupliziert ursprünglich eine Computervorlage um unsere Hyper-V Replica-Vorlage zu erstellen. Sie tat dies, weil die Computervorlage bereits Authentifizierung des Clients und Server-Authentifizierung in seine Liste der Anwendungsrichtlinien enthält. Sie können diese Anwendungsrichtlinien als die von Zertifikaten, die auf dieser Vorlage basierende unterstützten "Features" vorstellen. Die offizielle Bezeichnung für diese Funktionen ist erweiterte Schlüsselverwendung oder EKU.

Sicherheit ist die letzte Registerkarte. Hier weisen Sie Berechtigungen Lesen und registrieren für die Benutzer und Gruppen, die auf dieser Vorlage basierende Zertifikate generieren. Mit Vorlagen wie die, die Sie, hier erstellt haben besonders vorsichtig sein. Diese Vorlage hat den Anforderer eines Cert Antragstellername, bereitstellen, so dass ein böswilliger Benutzer die Vorlage verwenden könnte, um allerlei benannte und vertrauenswürdigen Zertifikate generieren.

Klicken Sie auf OK, um diese Eigenschaften festgelegt und schließen Sie die Zertifikatvorlagen-Konsole. Jetzt haben Sie einen wichtigen (und leicht forgettable) Schritt, Ihre Hyper-V Replica-Vorlage zu beenden. Zurück im Snap-In Zertifizierungsstelle, Maustaste auf Zertifikatvorlagen und wählen Sie neu | Auf Auszustellende Zertifikatvorlage. Wählen Sie Ihre Hyper-V Replica-Vorlage, und klicken Sie auf OK. Jetzt du bereit bist zu registrieren.

Registrieren Sie Ihr Zertifikat

Registrierung ist durch Ihren CA Active Directory-Registrierungsrichtlinie erleichtert. Einrichtung von lediglich eine Enterprise Root CA installieren. Starten Sie durch die Navigation zu einer Hyper-V-Hosts, auf denen Sie die Hyper-V Replica mit Zertifikat-basierte Authentifizierung aktivieren werden. Starten Sie dort eine leere Microsoft Management Console (MMC), und fügen Sie das Zertifikate-Snap-in für das Computerkonto. Nach dem Laden mit der rechten Maustaste Personal | Zertifikate, und wählen Sie alle Tasks | Neues Zertifikat anfordern (Abbildung 6).

Your local computer certificates.

Abbildung 6 Ihre lokale Computerzertifikate.

Dabei wird der Certificate Enrollment-Assistent gestartet. Hier können Sie alle Zertifikate einschreiben, die für die Verteilung durch die Active Directory-Registrierungsrichtlinie aktiviert worden ist. Klicken Sie weiter durch die ersten beiden Seiten des Assistenten die Hyper-V Replica-Vorlage zu. Anmeldung für dieses Zertifikat erfordert einen Antragstellernamen oder alternativen Antragstellernamen, so klicken Sie den Link mehr Informationen dazu.

Dies macht den Zertifikateigenschaften-Bildschirm verfügbar (Abbildung 7). Hier finden Sie einen Antragstellernamen oder alternativen Antragstellernamen eingeben. Verwenden Sie für die einfachste Lösung einen Platzhalter in der Alternative Name. Der Alternative Name für dieses Zertifikat ist *. company.pri. Dadurch wird das Zertifikat mit einem Hyper-V Replica-Host arbeiten, die einen übereinstimmenden FQDN hat.

Your certificate properties can include a wildcard.

Abbildung 7 Ihre Zertifikateigenschaften können Platzhalter enthalten.

Klicken Sie auf OK und registrieren, um das Zertifikat Ihre Hyper-V-Host persönlichen Speicher hinzuzufügen. Dieser Shop ist der Ort, wo Hyper-V Replica für alle Zertifikate sucht, die ihre Anforderungen erfüllt. Sie suchen nach einer erfolgreich beendet-Status (Abbildung 8). Sie können auch klicken, um das installierte Zertifikat anzuzeigen. Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.

You’ll see when the certificate is successfully installed.

Abbildung 8 du wirst sehen, wenn das Zertifikat erfolgreich installiert wurde.

Und das ist der Prozess zum Anpassen und Anfordern von Zertifikaten. Ihre letzte Schritt bei der Konfiguration von Hyper-V Replica geschieht wieder in Hyper-V-Manager. Starten Sie Hyper-V-Einstellungen, und klicken Sie auf Zertifikat auswählen, in Replikationskonfiguration. Wenn Sie alles richtig gemacht haben, sehen Sie Ihr vor kurzem installierte und angepasste Zertifikat (Abbildung 9). Herzlichen Glückwunsch – jetzt du bereit bist zu erstellen und registrieren Sie gerade ungefähr jedem Zertifikat Sie müssen.

You can select your certificate in the Hyper-V Settings.

Abbildung 9 Wählen Sie Ihr Zertifikat in den Hyper-V-Einstellungen.

Schmerzhaft, aber nützlich

Zertifikate scheinen in der Vergangenheit einen schlechten Ruf bekommen haben. Wenn ich zu Zertifikaten auf Konferenzen oder Schulungen Fragen, erhalte die meiste Zeit ich eine Roomful leere starrt. Zertifikate sind überall, aber nicht. Und Anzeichen sind, dass sie immer notwendig geworden sind, heute zu unterstützen ist IT-Anforderungen. Alles was Sie brauchen ist ein Weg, um sie einfach zu bilden.

Greg Shields

Greg ShieldsMVP, ist Partner bei Concentrated Technology. Mehr von Shields' Geek of All Trades Tipps und tricks bei ConcentratedTech.com.

Verwandte Inhalte