Sicherheit in Windows Server 2016

Mit selbstsignierten Zertifikaten arbeiten

| Autor: Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Alternativ zur Ausstellung herkömmlicher Zertifikate, haben Sie auch die Möglichkeit mit selbstsignierten Zertifikaten zu arbeiten. Eine solche Konstruktion können Sie zum Beispiel verwenden, wenn Sie die Hyper-V-Replikation nutzen, und auf den Hyper-V-Hosts selbstsignierte Zertifikate installieren.

Dazu verwenden Sie zum Beispiel die PowerShell und den folgenden Befehl:

New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname <FQDN des Servers>

In produktiven Umgebungen ist das aber nicht empfohlen. Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern mit denen Sie die selbst signierten Zertifikate erstellt haben, auf beiden Server als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher des Servers. Diesen rufen Sie über certlm.msc auf.

Wollen Sie Hyper-V-Replica im Cluster nutzen, müssen Sie einen Hyper-V Replica Broker im Clustermanager von Windows Server 2016 erstellen. Dabei gehen Sie vor, wie bei jeder anderen Clusterressource. Zuvor sollten Sie aber ein neues Computerkonto im Snap-In Active Directory-Benutzer und -Computer erstellen. Rufen Sie die Registerkarte Sicherheit des neuen Objekts auf und geben Sie dem Computerkonto des Clusters Vollzugriff auf das neue Konto.

Um SSL zu nutzen, rufen Sie auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf Replikationskonfiguration. Aktivieren Sie die Option Zertifikatbasierte Authentifizierung verwenden (HHTPS) und wählen Sie das Zertifikat aus, welches Sie für die Übertragung verwenden wollen. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein.