--------(--)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
2012-12-14(Fri)

Windows Server 2012のHyper-vレプリケーションで使用する証明書作成

Windows Server 2012のHyper-vレプリケーションでは2台のサーバー間で仮想マシンのレプリケーションが行えますが、2台のサーバーはKerberos認証か、X.509 v3証明書による認証を行う必要があります。
Kerberos認証はActiveDirectory環境を構築すれば利用できますが、ActiveDirectoryが利用できない場合や通信を暗号化したい場合にはX.509 v3証明書認証を行う必要がありますが、とりあえずレプリケーションのテストを行いたい場合には以下のいずれかの方法で証明書を作成できます。

-----------------------------------------------------------
■Windows Serverの証明機関を使う方法
-----------------------------------------------------------
1. ブラウザから証明機関のサーバーにアクセスし、[CA 証明書、証明書チェーン、または CRL のダウンロード]からCA証明書をダウンロードします。

2. ブラウザから証明機関のサーバーにアクセスし、[証明書を要求する][証明書の要求の詳細設定を送信する。][この CA への要求を作成し送信する。]で、証明書の種類[その他]を選び、OIDを[1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2]とし、[エクスポート可能なキーとしてマークする]をチェックし、要求を出し証明書を取得します。

3. MMC証明書スナップイン(コンピューター)で、信頼されたルート証明機関に取得したCA証明書(.cer)をインポート、個人証明書に取得したサービス証明書(.pfx)をインポートします。


-----------------------------------------------------------
■makecert.exeとpvk2pfx.exeを使う方法
-----------------------------------------------------------
1. Windows SDK for Windows Server 2008 and .NET Framework 3.5から、makecert.exeとpvk2pfx.exeを取得します。

2. 以下の内容のBATファイルを実行し、証明書を作成します。
set ROOT=<ルート証明書名>
set SUBJECT=<サブジェクトの証明書名>
makecert -pe -r -n "CN=%ROOT%" -sky signature -sv "%ROOT%.pvk" "%ROOT%.cer"
makecert -pe -n "CN=%SUBJECT%" -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -ss my -sr localMachine -sky exchange -iv "%ROOT%.pvk" -ic "%ROOT%.cer" -sv "%SUBJECT%.pvk" "%SUBJECT%.cer"
pvk2pfx -pvk "%SUBJECT%.pvk" -spc "%SUBJECT%.cer" -pfx "%SUBJECT%.pfx"

3. MMC証明書スナップイン(コンピューター)で、信頼されたルート証明機関に作成したCA証明書(.cer)をインポート、個人証明書に作成したサービス証明書(.pfx)をインポートします。


-----------------------------------------------------------
■注意事項
-----------------------------------------------------------
※証明書の取消確認ができない環境では、以下のコマンドでレジストリを変更する必要があります。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

※ファイアウォールの[Hyper-v レプリカ HTTPS]を解放する必要があります。

コメントの投稿

管理者にだけ表示を許可する

コメント

質問です。

Hyper-vレプリカに興味を持ち、こちらのページに辿り着きました。そこで質問なのですが、■makecert.exeとpvk2pfx.exeを使う方法の3.でインポートする証明書は、「SUBJECT」で指定した名前.cerと「SUBJECT」で指定した名前.pfxの二つということでしょうか?
それと、インポートはプライマリで作った証明書をレプリカに、レプリカで作った証明書をプリイマリにインポートするということですよね?
ど素人なので、質問も下手で申し訳ありませんが、教えて頂けるとありがたいです。よろしくお願いします。

No title

レプリカさん、いらっしゃいませ。

:################ ルート証明書作成 ###################
set ROOT=test
makecert -pe -r -n "CN=%ROOT%" -sky signature -sv "%ROOT%.pvk" "%ROOT%.cer"

:################ マスタ用サーバー証明書作成 ###################
set SUBJECT=masuter
makecert -pe -n "CN=%SUBJECT%" -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -ss my -sr localMachine -sky exchange -iv "%ROOT%.pvk" -ic "%ROOT%.cer" -sv "%SUBJECT%.pvk" "%SUBJECT%.cer"
pvk2pfx -pvk "%SUBJECT%.pvk" -spc "%SUBJECT%.cer" -pfx "%SUBJECT%.pfx"

:################ レプリカ用サーバー証明書作成 ###################
set SUBJECT=replica
makecert -pe -n "CN=%SUBJECT%" -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -ss my -sr localMachine -sky exchange -iv "%ROOT%.pvk" -ic "%ROOT%.cer" -sv "%SUBJECT%.pvk" "%SUBJECT%.cer"
pvk2pfx -pvk "%SUBJECT%.pvk" -spc "%SUBJECT%.cer" -pfx "%SUBJECT%.pfx"


例えば、上記を1つのBATファイルとして保存して、適当なパソコンで実行します。

マスタ用サーバーで
test.cerを信頼されたルート証明機関
master.pfxを個人証明書
にインポートします。

マスタ用サーバーで
test.cerを信頼されたルート証明機関
replica.pfxを個人証明書
にインポートします。

質問です。2

ご回答ありがとうございます。
一番下の
「マスタ用サーバーで
test.cerを信頼されたルート証明機関
replica.pfxを個人証明書
にインポートします。 」

「レプリカ用サーバーで
test.cerを信頼されたルート証明機関
replica.pfxを個人証明書
にインポートします。 」
ですよね。今日試してみます。
また、上手くいかない時は相談に乗ってください。よろしくお願いします。

ありがとうございました。

実は最初に試したのが、「http://technet.microsoft.com/ja-jp/library/jj134153.aspx#BKMK_1_5」に書いてある方法だったのですが、2箇所間違いがあり、1箇所はエラーが出たのですぐにわかったのですが、レジストリの変更はエラーにならないので、気が付きませんでした。
「reg add "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f」を実行したことで、無事にHyper-Vレプリカを構成出来ました。もう一度セットアップし直して1からやってみるつもりなので、また困ったら相談させて下さい。今回はありがとうございました。


 
プロフィール
Author:OMEGAT
FC2ブログへようこそ!
カレンダー
05 | 2017/06 | 07
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -
FC2カウンター
最新記事
最新コメント
最新トラックバック
月別アーカイブ
忍者AdMax
検索フォーム
カテゴリ
ブロとも申請フォーム

この人とブロともになる

amazonお奨め商品



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。