Zertifikate in View
Zertifikate in VMware View
Für die Erstellung von Zertifikaten unter VMware View gibt es im Internet einige Vorgehensweisen, die bei mir und meinen Kunden nicht funktioniert haben. Deshalb hier die komplette Vorgehensweise vor der Installation des Connection-Servers als Beispiel:
Haben Sie noch keinen DC unter Server 2008 (R2) erstellen Sie einfach eine neue VM mit dem Betriebssystem und nehmen diesen in die Domäne auf.
Um die neue VM zu einem DC heraufstufen zu können, müssen Sie auf dem Schemamaster der Umgebung den Befehl „adprep /forestprep" ausführen. Haben Sie einen 32 Bit DC so lautet der Befehl „adprep32 /forestprep". Die ausführbaren Dateien finden Sie auf der Windows 2008 CD unter „D:\Support\AdPrep". Das DOS-Fenster muss als Administrator ohne eingeschränkten Zugriff ausgeführt werden.
Ist der Befehl durchgelaufen, so müssen Sie noch die Domäne und die Gruppenrichtlinien mit dem Befehl „adprep32 /DomainPrep /GPPrep" anpassen. Folgt bei der Eingabe der Fehler, dass sich die Domäne im einheitlichen Modus befinden muss, so gehen Sie zu „Verwaltung à AD Benutzer und Computer", wählen den Domänennamen (z.B. gfu.dom) mit der rechten Maustaste und aus dem Kontextmenü den Punkt „Domänenfunktionsebene heraufstufen" aus.
Anschließend können Sie auf der Kommandozeile den obigen Befehl wiederholen. Danach steht der Aufnahme des neuen 2008er DCs nichts mehr im Weg.
Nach dem Neustart des 2008er Systems melden Sie sich als Domänenadministrator an dem System an und konfigurieren die neuen Rollen des DCs:
Wählen Sie im Server-Manager „Rollen" und anschließend „Rollen hinzufügen" aus.
Setzen Sie das Häkchen bei „Active Directory-Zertifikatdienste" und klicken Sie auf Weiter.
Wählen Sie zusätzlich die „Zertifizierungsstellen-Webregistrierung" aus und klicken Sie auf Weiter.
Für die Zertifikate der internen Domäne reicht der obere Punkt „Unternehmen" und im nächsten Fenster „Stammzertifizierungsstelle" aus.
Erstellen Sie einen neuen privaten Schlüssel, lassen Sie die Schlüsselzeichenlänge auf 2048 stehen und wählen Sie im nächsten Fenster 10 Jahre aus.
Übernehmen Sie in den Folgefenstern die Standardeinstellungen.
Nach ein paar Minuten ist der Vorgang beendet und Sie können das Fenster schließen.
Auf dem View Connection Server (Broker) müssen Sie zunächst eine Zertifikatsanforderung an den Zertifikatsserver stellen. Dafür gibt es verschiedene Möglichkeiten. Ich bevorzuge die Anforderung zunächst als Textdatei vorzubereiten, Sie können aber auch z.B. mittels mmc (Microsoft Management Console), per Internet Explorer oder auch per OpenSSL ein Zertifikat anfordern.
Kopieren Sie den folgenden Text in eine Textdatei, zum Beispiel mit dem Editor notepad, und passen Sie die Optionen dementsprechend an. Ich generiere als Beispiel hier ein Zertifikat für den vCenter Server mit dem FQDN „vm-broker.gfu.dom":
;----------------- anfrage.txt -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN= vm-broker.gfu.dom , OU= Computers , O= gfu , L= Koeln , S= NRW , C= DE "
; Ersetzen Sie den FQDN mit dem Ihres vCenter Servers.
; Ersetzen Sie die anderen Attribute dementsprechend
KeySpec = 1
KeyLength = 2048
; KeyLength sollte nicht kleiner als 2048 sein. Kleinere Längen werden
; zwar unterstützt, sind aber nicht empfohlen.
Exportable = TRUE
FriendlyName = "vdm"
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; das ist für die Server Authentifizierung
[RequestAttributes]
;-----------------------------------------------
Beachten Sie, dass am Ende der Textdatei kein zusätzlicher Zeilenumbruch vom Editor gemacht wird, löschen Sie diesen ggf.
Jetzt kann über die Kommandozeile des Brokers (mit uneingeschränkten Administratorrechten) die Anfrage abgesetzt werden. Mithilfe des Kommandos certreq generieren wir eine CSR-Datei (Certificate Signing Request):
certreq –new anfrage.txt certreq.csr
Der Inhalt der neuen Datei sieht dann ähnlich wie folgt aus:
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDzzCCArcCAQAwaDELMAkGA1UEBhMCREUxDDAKBgNVBAgMA05SVzEOMAwGA1UE
BwwFS29lbG4xDDAKBgNVBAoMA2dmdTESMBAGA1UECwwJQ29tcHV0ZXJzMRkwFwYD
VQQDDBB2bS12Y3M1MS5nZnUuZG9tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
........
cfkiMsPOYnVSNoOLvFPouEwyHb+aN74AUMOy1/m72U3TlYhC4Plo4/Y6vgI2CTYm
McQsTQ3vFh+12bkBQDCRV2qGb5v4Wb8fTdkaaGbFcyrhQWfTI2ZobTWdq2ZIsNK/
oFUnsMFn7LaRCISykuXwrfbMhw==
-----END NEW CERTIFICATE REQUEST-----
Den Inhalt dieser Datei kann man nun für die eigentliche Anfrage an den CA Server nutzten. Dafür starten wir den Internet Explorer und geben http:// gefolgt vom FQDN des Zertifikatservers und „/certsrv" ein.
Auf der Willkommensseite wählen Sie „Ein Zertifikat anfordern" und anschließend „erweiterte Zertifikatanforderung".
Auf der nächsten Seite wählen wir eine „PKCS10-Datei" aus und kopieren den Inhalt der generierten CSR-Datei in das dafür vorgesehene Feld.
Als Zertifikatsvorlage wählen wir aus dem Drop-Down Feld „Webserver" aus, zusätzliche Attribute benötigen wir nicht.
Nach dem Einsenden wird das Zertifikat ausgestellt und wir können es im Ordner „SSL" oder woanders auf dem Connection Server speichern.
Falls aber nichts passiert, beenden Sie den IE, schalten die erweiterte Sicherheitsfunktion aus und versuchen Sie es erneut.
Sie müssen nun das DER-codierte Zertifikat herunterladen z.B. ins Verzeichnis C:\SSL\certnew.cer
Anschließend starten Sie die Management Konsole "MMC" als Administrator und wählen der Reihe nach "Snap-In hinzufügen à Zertifikate à Computerkonto à lokaler Computer".
Die „Vertrauenswürdige Stammzertifizierungsstelle" ist dann bereits eingetragen.
Unter Zertifikate (Lokaler Computer) à Eigene Zertifikate die vorher exportierte Zertfikatsdatei „certnew.cer" importieren.
View Connection Server 5.2 installieren und anschließend den Aufruf von z.B. https://vm-connection.gfu.dom/admin ausprobieren.
Wenn keine Zertifikatswarnung kommt à Alles klar.
So einfach kann es sein ...