Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Windows Server 2012 R2: Hyper-V

Selbst signierte Zertifikate erstellen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Dieses Video erläutert die notwendigen Befehle für die Erstellung von selbst signierten Zertifikaten für die Replikation virtueller Computer auf verschiedenen Hyper-V-Hosts. Diese müssen auf sämtlichen involvierten Hosts durchgeführt werden.
11:22

Transkript

Damit Sie virtuelle Server in Windows Server 2012 A2 mit Hyper-V-Replica zwischen verschiedenen Hyper-V-Hosts replizieren lassen können, benötigen Sie für eine sichere Kommunikation Zertifikate. Diese Zertifikate können Sie sich schnell und einfach in der Befehlszeile erstellen. Alles was Sie dazu brauchen ist das Tool Makecert.exe. Dieses Tool habe ich auf dem Hyper-V-Server, auf dem ich die Replikationen konfigurieren möchte, bereits kopiert. Das Tool Makecert.exe ist Bestandteil des Windows 8 Server Development Tool Kits. Dieses Windows 8 SDK können Sie kostenlos bei Microsoft herunterladen, auf einer Arbeitsstation installieren und dann eines dieser Tools nämlich Makecert.exe auf die beteiligten Hyper-V-Hosts kopieren. Danach können Sie mit Makecert.exe in der Befehlszeile Zertifikate für die Hyper-V-Replikation erstellen. Wie Sie dabei vorgehen, zeige ich Ihnen in diesem Video. Zunächst erstellen Sie mit Makecert.exe und dem hier gezeigten Befehl ein Zertifikat der primären Zertifizierungsstelle auf dem ersten Server. D.h. auf dem ersten Server, auf dem Sie Hyper-V-Replica einstellen wollen, geben Sie den hier gezeigten Befehl ein. Es wird eine Datei erstellt, die ein Zertifikat der Zertifizierungsstelle enthält, die Sie mit Makecert.exe erstellen. Das heißt, zunächst diesen Befehl auf dem ersten Hyper-V-Server ausführen. Sie erhalten hier auch eine erfolgreiche Rückmeldung. Danach geben Sie auf dem gleichen Server den folgenden Befehl ein. Hier müssen Sie aber noch an dieser Stelle den "Fully Qualified Domain Name" des Servers eingeben. Also es handelt sich hierbei um den Server "s2.contoso.int". Den Rest des Befehls müssen Sie exakt genau so schreiben wie hier, auch mit den hier benannten Nummern, auch mit diesem hier benannten Zertifikat, das muss ich mit dem erstellten Zertifikat übereinstimmen. Die Vorgehensweise bei der Installation  von Zertifikaten mit Makecert.exe ist zwar generell recht einfach, Sie müssen aber darauf achten, keinerlei Tippfehler zu machen. Denn sobald Sie irgendwo einen kleinen Tippfehler haben, funktioniert irgendein Befehl in der Installationskette nicht mehr. Das heißt, zunächst erstellen Sie ein Zertifikat "Primary Root CA". Dieses muss erfolgreich erstellt werden. Danach verwenden Sie diesen Befehl, auf Basis der Primary Root CA, um ein Zertifikat für den ersten Hyper-V-Host, den Sie konfigurieren wollen, zu erstellen. Auch hier erhalten Sie wieder eine erfolgreiche Rückmeldung. Danach wechseln Sie auf den zweiten Hyper-V-Host, den Sie konfigurieren wollen. Vorteil der Vorgehensweise bei Makecert.exe ist, dass Sie zum einen aus diesem Befehl z.B. eine Batch-Datei bauen können. Das hat den Vorteil, dass Sie per Doppelklick sehr einfach für Testserver sich eigene Zertifikate zur Verfügung stellen zu können, ohne jedes Mal die Befehle neu eintippen zu müssen. Ein weiterer Vorteil von Makecert.exe ist, dass das Tool ein Befehlszeilen-Tool ist, d.h., Sie können es auch auf Hyper-V-Server 2012 R2 und auf Core-Servern verwenden. Ich verbinde mich jetzt einfach mal mit dem Remote Desktop eines Core-Servers, wechsle in das Verzeichnis, in das ich Makesert.exe kopiert habe und hier gehe ich jetzt exakt gleich vor. Ich erstelle ein neues Zertifikat für eine neue Zertifizierungsstelle, ich füge den Befehl hier ein. Dieser trägt jetzt aber die Bezeichnung "Secondary Root CA", denn es handelt sich um den zweiten Replikationsserver. Auch dieser Befehl muss fehlerfrei ausgeführt werden. Erhalten Sie hier einen Fehler, überprüfen Sie genau, ob Sie die exakte Schreibweise so gewählt haben. Danach stellen Sie ein Zertifikat aus, auf Basis der von Ihnen erstellten zweiten Zertifizierungsstelle. Ich kopiere den Befehl hier ein. Auch hier gilt wieder, dass Sie den Fully Qualified Domain Name des Servers eingeben müssen, hier handelt es sich  um den Server "s1.contoso.int". Auch hier darf kein Fehlermeldung erscheinen. Erscheint eine Fehlermeldung, überprüfen Sie auch hier noch einmal die korrekte Schreibweise. Sie sehen jetzt in dieser Konsole zwei Fehlermeldungen, die häufig bei der Konfiguration der selbst signierten Zertifikate erscheinen. Und genau diese Fehler erscheinen oft, wenn Sie Tippfehler haben. Hier sehen Sie, gibt es die Bezeichnung "Secondary Root CA", allerdings hier mit einem Leerzeichen. Das heißt, der Befehl funktioniert schon nicht mehr. Selbst wenn Sie den richtigen FQDN Ihres Servers eingeben, hier aber ein Leerzeichen verwenden, funktioniert der Befehl schon nicht mehr. Das heißt, achten Sie darauf, dass Sie wirklich keine Tippfehler haben, sonst können Sie teilweise stundenlang nach einem Fehler suchen, obwohl Sie, so wie hier, nur ein Leerzeichen zu viel haben. Hier sehen Sie noch einmal die korrekte Abfolge des Befehls. Sie erstellen zunächst Ihre Zertifizierungsstelle, danach erstellen Sie ein Zertifikat  mit dem Servernamen auf Basis der hier erstellten Zertifizierungsstelle. Sie haben jetzt bis an diese Stelle, auf den beteiligten Hyper-V-Hosts - wenn Sie 3 hyper-V Hosts verwenden, gehen Sie auf dem dritten genauso vor - die gleichen Vorgehensweisen durchgeführt. Sie haben ein Zertifikat einer Zertifizierungsstelle erstellt und Sie haben ein Zertifikat für den Server erstellt. Da jetzt die Server miteinander kommunizieren müssen, müssen Sie darüber hinaus noch sicherstellen, dass die einzelnen Zertifikate der Zertifizierungsstellen der anderen Server auf dem eigenen Server eingetragen sind. Einfach ausgedrückt, müssen Sie sicherstellen, dass der Server ist "s2.contoso.int" dem Zertifikat der Zertifizierungsstelle "Secondary Root CA" vertraut. Wenn Sie die internen Zertifizierungsstellen verwenden, ist das automatisch der Fall, da interne Zertifizierungsstellen "Active Directory" automatisch Ihr Zertifikat an die Mitgliedsserver verteilen. Hier haben Sie aber selbst Zertifikate erstellt, d.h. Sie müssen die Zertifikate per Zertifizierungsstelle, hier "Secondary Root CA" und auf dem anderen Server "Primary Root CA" auf den jeweils anderen Server kopieren. Verwenden Sie dazu am besten vielleicht das gleiche Verzeichnis, wie hier für Makecert. Ich habe jetzt im Explorer des zweiten Servers im Netzwerk - also dem Server mit der "Primary Root CA" - das Zertifikat der zweiten Zertifizierungsstelle im entsprechenden Verzeichnis, aus dem Sie Makecert gestartet haben, kopiert. Ich muss jetzt diese Zertifizierungsstelle auf dem primären Server eintragen. Dazu verwende ich den Befehl "Certutil". Ich kopiere Ihnen diesen Befehl hier in die Befehlszeile: "Certutil". Ich füge dem Zertifizierungsspeicher ein neues Stammzertifizierungszertifikat hinzu mit der Bezeichnung "Secondary Root CA.cer". Auch hier müssen Sie darauf achten, keinen Schreibfehler zu haben, Sie sehen hier den Namen des Zertifikats und Sie müssen das Zertifikat jetzt auf diesem Server eintragen. Achten Sie auch darauf, dass Sie hier keine Fehlermeldung erhalten. Sie sehen hier, das Zertifikat stimmt überein, das Zertifikat wurde erfolgreich hinzugefügt. Sie können das auch überprüfen, wenn Sie auf dem Server mit "certlm.msc" die Verwaltung der lokalen Zertifikate aufrufen. Sehen Sie zum einen für das Computerkonto im Bereich "Eigene Zertifikate" das von Ihnen ausgestellte Zertifikat auf Basis der Primary Root CA. Bei den vertrauenswürdigen Stammzertifizierungsstellen sehen Sie wiederum Ihre eigene Primary Root CA und Sie sehen die von Ihnen eben importiere Secondary Root CA. Auf die gleiche Weise wechseln Sie jetzt auf den zweiten Server, da kann es sich dabei auch um einen Core-Server handeln. Das heißt, Sie kopieren jetzt auf den zweiten Server im Netzwerk Ihr Primary Root CA und fügen dieses wiederum ebenfalls in die Zertifizierungsstelle auf dem Server ein. Ich habe jetzt auf meinem Core-Server das "Primary Root CA" der ersten Zertifizierungsstelle importiert und möchte auch dieses wieder mit dem Befehl "Certutil" in den Zertifizierungsspeicher kopieren. Ich kopieren diesen Befehl hier herein. Sie können sich diese Befehle, wenn Sie sie häufiger benötigen, auch in eine Batch-Datei kopieren, oder in eine Textdatei, aus der Sie sie sehr einfach wieder rauskopieren können, so wie ich hier. Auch hier verwenden Sie wieder "Certutil" und den gleichen Befehl wie auf dem ersten Server, nur fügen Sie jetzt auf dem zweiten Server die "Primary Root CA" zur Zertifizierungsstelle hinzu. Auch hier darf kein Fehler erscheinen, auch hier können Sie die Einrichtung wieder überprüfen. Am einfachsten überprüfen Sie das aber nicht auf dem Core-Server, denn hier gibt es nicht die Verwaltungskonsole für die lokalen Zertifikate. Sie sehen das, wenn ich hier "certlm.msc" eingebe, wird der Befehl nicht gefunden. Ich kann aber auf dem zweiten Server mir die Verwaltung der Zertifikate anzeigen. Ich verbinde mich dazu auf den Remote-Desktop des zweiten Servers, öffne die Verwaltung der Zertifikate mit "certlm.msc", kann jetzt hier eine Verbindung mit dem anderen Server aufbauen, verwende hier den Server "S1". Auch hier sehe ich bei den eigenen Zertifikaten das ausgestellte Zertifikat "S1", welches von der Secondary Root CA ausgestellt wurde, und ich sehe bei den vertrauenswürdigen Stammzertifizierungsstellen in den Zertifikaten mein Secondary Root CA - also das Zertifikat, das ich auf dem Server selbst erstellt habe - und das Zertifikat, das ich importiert habe. Das heißt, die beiden Server haben jetzt jeweils eigene Zertifikate und vertrauen ihren eigenen Zertifizierungsstellen und den Zertifizierungsstellen des anderen Servers.  Wenn Sie mit einem dritten Server arbeiten, erstellen Sie auf dem dritten Server ebenfalls ein Zertifikat und fügen dann die beiden Zertifizierungsstellen der anderen Server hinzu. Sollte sich bei Ihnen, wenn Sie mit einem Core-Server z.B. arbeiten, der Zertifizierungsspeicher des zweiten Servers nicht öffnen lassen, erstellen Sie eine neue Verwaltungskonsole, indem Sie nach "mmc" auf der Startseite suchen, fügen über "Datei - Snap-In hinzufügen" die Windows Firewall hinzu, wählen hier aber die Windows Firewall des Core-Servers aus. Wenn Sie hier schon eine Fehlermeldung erhalten, dann ist die Remote-Verwaltung auf dem Core-Server aktiviert. Sie müssen diese dann aktivieren und bei den eingehenden Regeln aktivieren Sie im Bereich "Remote" die Remote-Dienstverwaltung, jeweils hier mit RPC, die Remote-Ereignisprotokollierung, die Ereignisüberwachung, dann sollte auch die Verwaltung der Zertifikate funktionieren. Sie konnten in diesem Video sehen, wie Sie relativ einfach auf verschiedenen Servern Zertifikate erstellen, Zertifikate für Zertifizierungsstellen erstellen und die Zertifikate auf den jeweils anderen Server importieren.

Windows Server 2012 R2: Hyper-V

Lernen Sie, wie Sie in Hyper-V ganz praktisch mit virtuellen Servern, virtuellen Festplatten, virtuellen Switches, virtuellen Domänencontrollern usw. in der Praxis umgehen.

5 Std. 52 min (55 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!