windows ca

Zerifikatsvalidy period erhöhen

von

Kurz und knapp: Wenn man bei seiner Windows Zertifizierungsstelle keine Zertifikate mit längerer Gültigkeit ausstellen kann, obwohl es in den entsprechenden Templates konfiguriert ist, muss man prüfen was die generelle Gültigkeitsdauer ist.
Dazu auf dem CA-Server folgende Einstellungen prüfen:

H:\>certutil -getreg ca\ValidityPeriod
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA\ValidityPeriod:
ValidityPeriod REG_SZ = Years
CertUtil: -getreg command completed successfully.
H:\>certutil -getreg ca\ValidityPeriodUnits
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA\ValidityPeriodUnits:
ValidityPeriodUnits REG_DWORD = 2
CertUtil: -getreg command completed successfully.

Über die Werte kriegt man zum einen raus, in was für Perioden gerechnet wird (i.d.R. Jahre), sowie wie lange die max. Gültigkeit ist. (ValidityPeriodUnits)
Um den Wert nun zu erhöhen wie folgt ausführen:

H:\>certutil -setreg ca\validityperiodunits 4
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA\ValidityPeriod
Units:
Old Value:
ValidityPeriodUnits REG_DWORD = 2
New Value:
ValidityPeriodUnits REG_DWORD = 4
CertUtil: -setreg command completed successfully.
The CertSvc service may need to be restarted for changes to take effect.

Abschließend den Zertifikatsdienst neustarten:

H:\>net stop certsvc
The Active Directory Certificate Services service is stopping.
The Active Directory Certificate Services service was stopped successfully.
H:\>net start certsvc
The Active Directory Certificate Services service is starting.
The Active Directory Certificate Services service was started successfully.

Anschließend kann man über den CA-Server in den Zertifikatstemplates die Gültigkeit erhöhen:
img_005_compressed
Und siehe da, die Zertifikate sind nun länger gültig:
img_007_compressed

VMware Site Recovery Manager – SSL Zertifikate via Windows CA erstellen

von

Beim Verbinden zweiter Sites des Site Recovery Manager dürfen keine unterschiedlichen Zertifikatmethoden verwendet werden. Entweder selbst signiert, oder von einer Zertifizierungsstelle signiert. Und das bei beiden SRM Servern sowie dem vCenter Server.
Eine Hürde beim SRM ist wiederum das beide Server den gleichen „Subject Alternative Name“ haben müssen. Außerdem muss das Zertifikat für Server & Client Authentifizierung vorgesehen sein.
Dafür muss man sich bei einer Windows-CA ein eigenes Template erstellen. Der einfachste Weg dazu ist das kopieren & anpassen des Computer Templates.
Eingestellt werden muss:

- Allow Private Key to be exported (da das Zertifikat später noch umgewandelt werden muss)
- Application Polices = Server Authentication & Client Authentication
- Subject Name wird via "Subject in request" bereitgestellt" (Ansonsten würde der Subject Alternative Name immer durch den Computernamen überschrieben.)


Anschließend nicht vergessen dass das Template korrekt berechtigt wird. Nun kann man das Zertifikat anfordern.
Man hält sich hier am besten an folgenden KB. Das ganze ist ja schon ziemlich komplex und einiges muss beachtet werden.
Kurz zusammengefasst:

- Der CN/O/OU muss bei beiden Site Recovery Managern identisch sein
- Die Organisation (O Attribute) muss mit dem Zertifikat des vCenter Servers übereinstimmen
- Die OrganisationsEinheit (OU Attribute) muss mit dem Zertifikat des vCenter Servers übereinstimmen
- Die Zertifikate müssen von der gleichen CA ausgestellt sein


Die Zertifikate müssen also bis auf den subjectAlternativeName sowie die ipv4 Adresse komplett identisch sein. (Groß/Kleinschreibung beachten!)
Nachdem man das Zertifikat erstellt hat, dieses exportieren (mit Private Key) und anschließend noch in das P12 Format umkonvertieren:
# Private Key exportieren

openssl pkcs12 -in SERVER.pfx -out aa.key -nocerts -nodes
Enter Import Password:
MAC verified OK

# Zertifikat exportieren

openssl pkcs12 -in SERVER.pfx -clcerts -nokeys -out publicCert.pem
Enter Import Password:
MAC verified OK

# Anhand von Key & Zertifikat ein .p12 Zertifikat erstellen

openssl pkcs12 -export -in publicCert.pem -inkey aa.key -out SERVER.p12
Enter Export Password:
Verifying - Enter Export Password:

Dieses Zertifikat kann man nun bei der Installation bzw. bei einer „Reperaturinstallation“ angeben. Fertig.
Je nachdem was man bei der Installation des SRM als Hostname angegeben hat – muss man diesen gegebenenfalls nochmal abändern, sodass dieser mit dem subjectAlternativeName des Zertifiaktes übereinstimmt.
Siehe folgende Fehlermeldung:

 The host name (server.domain.info) in the Subject Alternative Name of the provided certificate does not identically match the SRM host name (192.168.0.2).

altname-ip
Den SRM Hostname kann man im Nachhinein noch ändern, durch das editieren der Datei: extension.xml. Siehe dazu den VMware KB.
Auch hier muss man auf die Groß/Kleinschreibung beachten!