Hyper-V Replication: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „Hyper-V Replication mit HTTPS (SSL Certificate)<br> <br> Zuerst muss ein Root-CA Zertifikat erstellt werden (wenn man keine Domain-Root-CA hat)<br> makecert -pe -…“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 2: | Zeile 2: | ||
<br> | <br> | ||
Zuerst muss ein Root-CA Zertifikat erstellt werden (wenn man keine Domain-Root-CA hat)<br> | Zuerst muss ein Root-CA Zertifikat erstellt werden (wenn man keine Domain-Root-CA hat)<br> | ||
makecert -pe -n "CN=VMHp1RootCA" -ss root -sr LocalMachine -sky signature -r "VMHp1RootCA.cer"<br> | <b>makecert -pe -n "CN=VMHp1RootCA" -ss root -sr LocalMachine -sky signature -r "VMHp1RootCA.cer"</b><br> | ||
<br> | <br> | ||
Danach das Serverzertifikat erstellen<br> | Danach das Serverzertifikat erstellen<br> | ||
makecert -pe -n "CN=ServerVMHp1.domain.local" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "VMHp1RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 Server1.cer<br> | <b>makecert -pe -n "CN=ServerVMHp1.domain.local" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "VMHp1RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 Server1.cer</b><br> | ||
<br> | |||
Bei Clustern muss das Serverzertifikat ein SAN Zertifikat sein, das alle Node-FQDN enthält.<br> | |||
Dazu müssen die FQDN mit Komma getrennt angegeben werden.<br> | |||
<b>makecert -pe -n "CN=ClusterP1.domain.local, CN=ServerVMHp1.domain.local, CN=ServerVMHp2.domain.local" .... </b><br> | |||
<br> | |||
Das gleiche für den Server2 wiederholen und natürlich einen anderen CA Namen angeben.<br> | Das gleiche für den Server2 wiederholen und natürlich einen anderen CA Namen angeben.<br> | ||
Das Root-Zertifikat des jeweils anderen Servers einbinden mit:<br> | Das Root-Zertifikat des jeweils anderen Servers einbinden mit:<br> | ||
certutil -addstore -f Root "VMHp1RootCA.cer"<br> | <b>certutil -addstore -f Root "VMHp1RootCA.cer"</b><br> | ||
<br> | <br> | ||
Damit das self-signed Certificate anerkannt wird, muss noch ein Registry Eintrag gesetzt werden.<br> | Damit das self-signed Certificate anerkannt wird, muss noch ein Registry Eintrag gesetzt werden.<br> | ||
Version vom 10. November 2014, 13:43 Uhr
Hyper-V Replication mit HTTPS (SSL Certificate)
Zuerst muss ein Root-CA Zertifikat erstellt werden (wenn man keine Domain-Root-CA hat)
makecert -pe -n "CN=VMHp1RootCA" -ss root -sr LocalMachine -sky signature -r "VMHp1RootCA.cer"
Danach das Serverzertifikat erstellen
makecert -pe -n "CN=ServerVMHp1.domain.local" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "VMHp1RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 Server1.cer
Bei Clustern muss das Serverzertifikat ein SAN Zertifikat sein, das alle Node-FQDN enthält.
Dazu müssen die FQDN mit Komma getrennt angegeben werden.
makecert -pe -n "CN=ClusterP1.domain.local, CN=ServerVMHp1.domain.local, CN=ServerVMHp2.domain.local" ....
Das gleiche für den Server2 wiederholen und natürlich einen anderen CA Namen angeben.
Das Root-Zertifikat des jeweils anderen Servers einbinden mit:
certutil -addstore -f Root "VMHp1RootCA.cer"
Damit das self-signed Certificate anerkannt wird, muss noch ein Registry Eintrag gesetzt werden.
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
Falls das nicht funktioniert, sollte noch mal geprüft werden ob der Registry Eintrag korrekt ist, ich habe auch schon einen anderen Beitrag gesehen wo der Regkey ein anderer war.
Nun im Hyper-V Manager noch für den Hyper-V Server SSL Replication aktivieren und das Zertifikat auswählen. Erst danach kann für die VM SSL Replikation verwendet werden