HYPER-V Replication – Creazione ed installazione del certificato Self-Signed – Parte 2

di

Eccomi di ritorno con questa secondo parte della prova di laboratorio in cui ho configurato due server HYPER-V con Windows 2016 in ambiente Workgroup per autenticasi l’un l’altro tramite certificati self-signed e replicare una macchina virtuale per garantirne la business continuity e il disaster recovery

Ho diviso la guida in tre parti così da renderne la lettura più comoda:

  1. Installazione del ruolo HYPER-V sui server (parte 1)
  2. Creazione ed installazione del certificato Self-Signed (parte 2)
  3. Creazione della Replica della VM (parte 3)

Creare la catena di certificati

La prima cosa da fare è scaricare dal sito Microsoft SDK l’utility Makecerthttp://www.microsoft.com/en-us/download/details.aspx?id=8279
L’utility può essere scaricata anche da questo link privato fintanto che è resa disponbilie dal fornitore: Utility Makecert

Cos’è Makecert? E’ uno strumento per la creazione di certificati in formato X.509 al solo scopo di testing. L’utility crea una coppia di chiavi pubblica e privata per le firme digitali e la archivia in un file consentendo la creazione di certificati self-signed senza aver preventivamente installato una CA sui server

Una volta scaricata e copiata l’utility Makecert su entrambi i server ho creato la struttura di cartelle che riporto in fig.1.

Fig.1

Ho poi aperto un prompt di comandi CMD come amministratore per creare la RootCA

c:\makecert\64bit\makecert.exe -pe -n "CN=PrimaryTestRootCA" -ss root -sr LocalMachine -sky signature -r "c:\makecert\64bit\PrimaryTestRootCA.cer"
Fig.2

e a seguire ho creato il certificato computer per il primo server HV (H-HV01):

c:\makecert\64bit\makecert.exe -pe -n "CN=H-HV01" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "PrimaryTestRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "c:\makecert\64bit\PrimaryTestCert.cer"
Fig.3

Per evitare problemi con i certificati self-signed meglio disabilitare il controllo delle revoche aggiungendo questa chiave di registro a Windows: 

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
Fig.4

Ora ri-eseguo i comandi  appena utilizzati sul secondo server HV (H-HV02):

Fig.5

Una  volta terminata la creazione dei certificati su entrambi i server procedo con l’esportazione degli stessi (da Fig.6 a Fig.17):

Start –> MMC

Fig.6
Fig.7
Fig.8
Fig.9
Fig.10
Fig.11
Fig.12
Fig.13
Fig.14
Fig.15
Fig.16
Fig.17

Copiare i certificati

Ora per terminare le attività di questa seconda parte della guida ho copiato in modo inverso i certificati per la successiva importazione (su H-HV01 il certificato di H-HV02 e viceversa).

Copiare da H-HV01:

  • PrimaryTestCert
  • PrimaryTestRootCA.cer
  • H-HV01.pfx

sul server di replica (H-HV02) nella cartella c:\makecert\import

Copiare da da H-HV02:

  • ReplicaTestCert
  • ReplicaTestRootCA.cer
  • H-HV02.pfx

sul server principale (H-HV01) nella cartella c:\makecert\import.

Ora per importare la CA dell’altro server su H-HV01 eseguo il comando:

certutil -addstore -f Root C:\makecert\64bit\import\ReplicaTestRootCA.cer
Fig.18

Dopo importo il certificato del server

Fig.19
Fig.20
Fig.21
Fig.22
Fig.23

La stessa procedura la eseguo su H-HV02:

certutil -addstore -f Root C:\makecert\64bit\import\PrimaryTestRootCA.cer
Fig.24

Conclusione delle attività

Al termine di questa seconda procedura si può passare alla alla fase 3 i due server HV saranno in grado di replicare tra di loro una (o più) macchina virtuale garantendone il fail-over in caso di problemi.

Continua con la Parte 3 …

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.