Wenn bei Hyper-V über die Domäne hinweg repliziert wird, werden auf dem Quell- und Zielserver Zertifikate benötigt. Im Folgenden ist beschrieben, wie Sie die Zertifikate generieren und einsetzen müssen.
Gehen Sie folgendermassen vor:
- Öffnen Sie PowerShell als Administrator (das kann auf einem lokalen PC geschehen)
- Tippen Sie für das Root Zertifikat nachstehenden Befehl ein. Passen Sie den Domain-Namen und die Laufzeit in Monaten an
New-SelfSignedCertificate -Type "Custom" -NotAfter (Get-Date).AddMonths(72) -KeyExportPolicy "Exportable" -Subject "CN=xyz.ch" -CertStoreLocation "Cert:\LocalMachine\My" -KeySpec "Signature" -KeyUsage "CertSign" -HashAlgorithm "SHA256" - Wenn Sie den Befehl eingegeben haben und die Generierung durchgelaufen ist, erhalten Sie einen Thumbprint. Diesen benötigen Sie für die weiteren Befehle. In unserem Beispiel gehen wir von nachstehendem Thumbprint aus
A13358A2580C3C925B5E00C35A55217B7D601B41 - Tippen Sie für das Computerzertifikat den nachstehenden Befehl ein. Passen Sie den Servernamen und die Laufzeit in Monaten an und setzen Sie den zuvor erhaltenen Thumbprint ein
New-SelfSignedCertificate -type "Custom" -KeyExportPolicy "Exportable" -NotAfter (Get-Date).AddMonths(72) -Subject "CN=SERVER-HVA.XYZ.CH" -CertStoreLocation "Cert:\LocalMachine\My" -KeySpec "KeyExchange" -HashAlgorithm "SHA256" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2") -Signer "Cert:LocalMachine\My\A13358A2580C3C925B5E00C35A55217B7D601B41" -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" - Sollten Sie mehrere Hyper-V-Server in Ihrer Domäne haben, müssen Sie den Befehl bei Position 4 für jeden Server durchführen. Sie passen dann nur noch den Servernamen an.
- Nun liegen alle Zertifikate im Zertifikatsspeicher unter eigene Zertifikate. Das oder die Computerzertifikat(e) werden nun inklusive Schlüssel exportiert und abgespeichert. Das Root Zertifikat wird ebenfalls exportiert und abgespeichert, aber ohne privaten Schlüssel.
- Die so erhaltenen Zertifikate werden nun auf allen beteiligten Hyper-V Hosts importiert.
- Zusätzlich muss man auf den Hyper-V Hosts im Eingabefenster noch folgende Registrierungseinträge setzten:
- reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
- reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\FailoverReplication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f - Wenn die Gegenstelle nicht in derselben Domäne liegt, muss dort dasselbe Spiel durchgeführt werden. Dann müssen die Zertifikate auf der Gegenseite ebenfalls importiert werden. Quell- und Zielserver müssen dieselben Zertifikate importieren. Ansonsten läuft die Replizierung nicht.
- Jetzt kann im Hyper-V bei der Zertifikatsbasierenden Replizierung das richtige Zertifikat ausgewählt werden.