- 前言
- 架構圖
- 主要伺服器產生Root憑證及EKU憑證
- 複本伺服器產生Root憑證及EKU憑證
- 主要及複本伺服器換及匯入Root憑證
- 主要及複本伺服器停用我簽署憑證撤銷檢查
- 設定憑證驗證 Replica
- 參考資料
1.前言
設定兩台獨立Hyper-V 3.0 主機,透過憑證驗證(Https)來建立Replica
2.架構圖
HV03 主要伺服器 10.10.75.3
HV04 複本伺服器 10.10.75.4
3. 主要伺服器產生Root憑證&EKU憑證
利用 makecert.exe 來產生 Root憑證
產生 root CA
makecert -pe -n “CN=PrimaryTestRootCA” -ss root -sr LocalMachine -sky signature -r “PrimaryTestRootCA.cer”
產生EKU憑證
makecert -pe -n “CN=HV03” -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in “PrimaryTestRootCA” -is root -ir LocalMachine -sp “Microsoft RSA SChannel Cryptographic Provider” -sy 12 PrimaryTestCert.cer
4. 複本伺服器產生Root憑證&EKU憑證
利用 makecert.exe 來產生 Root憑證
產生 root CA
makecert -pe -n “CN=ReplicaTestRootCA” -ss root -sr LocalMachine -sky signature -r “ReplicaTestRootCA.cer”
產生EKU憑證
makecert -pe -n “CN=2k12-2” -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in “ReplicaTestRootCA” -is root -ir LocalMachine -sp “Microsoft RSA SChannel Cryptographic Provider” -sy 12 ReplicaTestCert.cer
5. 主要及複本伺服器換及匯入Root憑證
憑證建立完畢後,兩台主機互相交換 Root憑證並匯入
在主要伺服器(HV03),將 [PrimaryTestCert.cer]複製到複本伺服器上
在複本伺服器(HV04),將[ ReplicaTestCert.cer]複製到主要伺服器上
在主要伺服器(HV03),匯入 ReplicaTestRootCA.cer
指令匯入 ” certutil -addstore -f Root “ReplicaTestRootCA.cer”
匯入成功後,再受信任的根憑證即可看到 ReplicaTestRootCA
在複本伺服器(HV04),匯入PrimaryTestCert.cer
指令匯入 “certutil -addstore -f Root “PrimaryTestRootCA.cer”
匯入成功後,再受信任的根憑證即可看到 PrimaryTestRootCA
6.主要及複本伺服器停用我簽署憑證撤銷檢查
因自我簽署憑證不支援撤銷檢查。編輯主要伺服器與複本伺服器上的登錄檔,停用檢查
利用如下指令停用檢查
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
7.設定憑證驗證 Replica
設定HV04為複本伺服器
在複寫設定>勾選[啟用此電腦為複本伺服器] > 勾選 [使用憑證是驗證]
確認後會出現提示firewall 443 port 需要允許通過
在HV03設定 VM1 虛擬機器啟用複寫
選取複本伺服器 HV04
8.參考資料
準備部署 Hyper-V 複本
Makecert.exe (憑證建立工具)
Hyper-V Replica – Prerequisites for certificate based deployments
本篇瀏覽人數: 5222
Hi, 我照以上的方法都做完了,在主要伺服器要進行VM複寫時卻回報複寫失敗說”提供的憑證無效” 0x00002F89
確認兩台HV都有交換憑證,還是這其中有什麼眉角沒注意到的:(
您好
我在想會不會主要和複本伺服器EKU憑證 CN 打錯~~ 先將相關憑證都刪掉再重新做一下試看看
可以參考一下
http://robsealock.squarespace.com/journal/2012/3/16/windows-8-server-beta-hyper-v-replication-in-workgroup-mode.html
不知道樓上前輩後來有沒有解決,小弟今天也遇到0x00002F89,提示443沒開&憑證交換異常,但反覆操作都確認憑證也有交換,443也有開,就是找不著頭緒處理