schicksal
Goto Top

Zertifikat für HyperV Replikation

Hallo zusammen,

ich versuche mir ein Selbstsigniertes Zertifikat für eine HyperV Replikation zu erstellen.
Leider stoße ich da auf Schwierigkeiten.

Der HyperV Host (Server 2016) lässt mir das Zertifikat nicht wählen.
hv-meldung

Ich probierte vieles aus, auch folgendes diesem Zertifikat:

Winrm create winrm/config/listener?Address=*+Transport=HTTPS @{Hostname="mein FQDN>";CertificateThumbprint=""
Ergebnis: Der WinRM-Client kann die Anforderung nicht verarbeiten. Der bereitgestellte Zertifikat-CN und Hostname stimmen nicht überein.

Ich erstellte dieses mittels:
New-SelfSignedCertificate -Type "Custom" -NotAfter (Get-Date).AddMonths(24) -KeyExportPolicy "Exportable" -Subject "CN=
mein FQDN" -DnsName "mein FQDN,hostname,.meineDomain" -CertStoreLocation "Cert:\LocalMachine\My" -KeySpec "Signature" -KeyUsage "CertSign" -HashAlgorithm "SHA256"

ERGIBT:
Fingerprint

Und:
New-SelfSignedCertificate -type "Custom" -KeyExportPolicy "Exportable" -NotAfter (Get-Date).AddMonths(24) -Subject "
mein FQDN" -DnsName "mein FQDN,hostname,.meineDomain" -CertStoreLocation "Cert:\LocalMachine\My" -KeySpec "KeyExchange" -HashAlgorithm "SHA256"-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2") -Signer "Cert:LocalMachine\My\ Fingerprint**" -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider"

Dieses habe ich mir auch von https://winxperts4all.at/index.php/virtualisierung/187-microsoft-hyper-v ... abgeschaut.
Die zwei dort beschriebenen Reg Keys habe ich auch eingespielt.

Gibt es da ein Update von MS das diese Anleitung nicht mehr stimmt?
Könnt Ihr mich dem Fehler etwas näher bringen, so das dass Zertifikat wählbar ist.

Danke für eure Tipps.

Content-ID: 511744

Url: https://administrator.de/contentid/511744

Printed on: October 9, 2024 at 17:10 o'clock

DerWoWusste
DerWoWusste Nov 04, 2019 at 14:35:25 (UTC)
Goto Top
Moin.

Zunächst einmal keine Ahnung, was an der Syntax evtl. nicht stimmt.
Aber warum nutzt Ihr nicht ein Zertifikat von Eurer internen CA? Oder gibt es keine?
schicksal
schicksal Nov 04, 2019 at 15:21:09 (UTC)
Goto Top
Ist derzeit eine Testumgebung.
Ich habe auch folgendes Problem mir werden keinerlei Zertifikate für die HyperV Replikation gelistet weder die von der Internen CA noch die was ich erstelle.
Dies ist glaube ich auch die Ursache und nicht das Erstellen, denn in der Zertifikatsverwaltung sind die Zertifikate ja gültig.

Deshalb, wie identifiziert HyperV Zertifikate für sich. Muss man beim Erstellen was erfüllen (spez. OCSP Eintrag), oder ist da anderwertig zu suchen?
Der Screenshot, hier kommt keinerlei Auswahl welches Zertifikat oder was HyperV nicht passt, im Ereignisprotokoll finde ich auch nichts zu HyperV.
DerWoWusste
Solution DerWoWusste Nov 04, 2019 updated at 15:31:32 (UTC)
Goto Top
Du hast eine CA? Bestens. Dann öffne mal die Powershell auf der Quelle und nimm dieses Kommando:
Get-Certificate -Template machine -DnsName "Quellserver.domain.local" -CertStoreLocation "cert:\LocalMachine\My" -URL ldap:  
CA muss dafür mindestens 2008 Enterprise oder 2008 R2 Standard oder höher sein. Danach dieses Zertifikat auf dem Ziel installieren.

Edit: Syntax nachgebessert
schicksal
schicksal Nov 04, 2019 at 15:44:02 (UTC)
Goto Top
OK, Hiermit kann ich ein Zertifikat wählen.
Prima in der Testumgebung funktioniert es.

Ich bin gerade noch am testen ob dies bei unserer sehr alten "AD" auch noch funst. denn da ist noch eine Single Domain. (2012 R2)
schicksal
schicksal Nov 04, 2019 at 16:11:39 (UTC)
Goto Top
Danke WOWusste es!

face-smile
DerWoWusste
DerWoWusste Nov 04, 2019 at 17:15:57 (UTC)
Goto Top
Gerne! Habe selbst mal damit gekämpft und wurde auch hier unterstützt.