Hyper-V 3.0 筆記(三)獨立伺服器憑證驗證 Replica

  • 前言
  • 架構圖
  • 主要伺服器產生Root憑證及EKU憑證
  • 複本伺服器產生Root憑證及EKU憑證
  • 主要及複本伺服器換及匯入Root憑證
  • 主要及複本伺服器停用我簽署憑證撤銷檢查
  • 設定憑證驗證 Replica
  • 參考資料

 

1.前言
設定兩台獨立Hyper-V 3.0 主機,透過憑證驗證(Https)來建立Replica

2.架構圖
HV03 主要伺服器 10.10.75.3
HV04 複本伺服器 10.10.75.4
rep1

3. 主要伺服器產生Root憑證&EKU憑證

利用 makecert.exe 來產生 Root憑證

產生  root CA
makecert -pe -n “CN=PrimaryTestRootCA” -ss root -sr LocalMachine -sky signature -r “PrimaryTestRootCA.cer”

產生EKU憑證

makecert -pe -n “CN=HV03” -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in “PrimaryTestRootCA” -is root -ir LocalMachine -sp “Microsoft RSA SChannel Cryptographic Provider” -sy 12 PrimaryTestCert.cer

 

rep2

rep3

rep4

4. 複本伺服器產生Root憑證&EKU憑證

利用 makecert.exe 來產生 Root憑證

 

產生  root CA

makecert -pe -n “CN=ReplicaTestRootCA” -ss root -sr LocalMachine -sky signature -r “ReplicaTestRootCA.cer”

產生EKU憑證

 

makecert -pe -n “CN=2k12-2” -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in “ReplicaTestRootCA” -is root -ir LocalMachine -sp “Microsoft RSA SChannel Cryptographic Provider” -sy 12 ReplicaTestCert.cer

rep5

rep6

rep7

5. 主要及複本伺服器換及匯入Root憑證

憑證建立完畢後,兩台主機互相交換 Root憑證並匯入
在主要伺服器(HV03),將 [PrimaryTestCert.cer]複製到複本伺服器上
在複本伺服器(HV04),將[ ReplicaTestCert.cer]複製到主要伺服器上
在主要伺服器(HV03),匯入 ReplicaTestRootCA.cer
指令匯入 ” certutil -addstore -f Root “ReplicaTestRootCA.cer”

rep9

匯入成功後,再受信任的根憑證即可看到 ReplicaTestRootCA
rep8

在複本伺服器(HV04),匯入PrimaryTestCert.cer
指令匯入 “certutil -addstore -f Root “PrimaryTestRootCA.cer”
rep10

匯入成功後,再受信任的根憑證即可看到 PrimaryTestRootCA
rep11

6.主要及複本伺服器停用我簽署憑證撤銷檢查


因自我簽署憑證不支援撤銷檢查。編輯主要伺服器與複本伺服器上的登錄檔,停用檢查
利用如下指令停用檢查

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

7.設定憑證驗證 Replica

設定HV04為複本伺服器
在複寫設定>勾選[啟用此電腦為複本伺服器] > 勾選 [使用憑證是驗證]
rep12

點選 > 選取憑證 > 會跳出憑證相關資訊
rep13

確認後會出現提示firewall 443 port 需要允許通過
rep14

在HV03設定 VM1 虛擬機器啟用複寫
選取複本伺服器 HV04
rep15

點選 > [選取憑證]
rep16
rep17

擇複寫VHD
rep18

設定復原歷程記錄
rep19

選擇初始複寫方法
rep20

開始傳送及接收資料
rep21

rep22

初始化複寫完畢
rep23

8.參考資料

準備部署 Hyper-V 複本

Makecert.exe (憑證建立工具)

Hyper-V Replica – Prerequisites for certificate based deployments


本篇瀏覽人數: 2621
分類: Hyper-V 3.0 筆記, Hyper-V篇。這篇內容的永久連結

在〈Hyper-V 3.0 筆記(三)獨立伺服器憑證驗證 Replica〉中有 2 則留言

  1. YWHuang表示:

    Hi, 我照以上的方法都做完了,在主要伺服器要進行VM複寫時卻回報複寫失敗說”提供的憑證無效” 0x00002F89
    確認兩台HV都有交換憑證,還是這其中有什麼眉角沒注意到的:(

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *