摘要:[Hyper-V]憑證式驗證(SSL)的複寫
這段技術文件在微軟Technet已經發布 http://technet.microsoft.com/zh-tw/library/jj134153.aspx,如果有依據該文件實作的人,應該會發現其中有些問題:1.該文件敘述的是叢集環境的複本代理人的SSL複寫設定;2.憑證產生的命令有誤。
參考該文件整理出以下憑證式複寫的操作步驟:
1.在2部獨立的Hyper-V伺服器,利用makecert.exe(可在Visual Studio中找到)產生CA Root憑證與個人的EKU憑證:(以下是複本伺服器的產生命令,主要伺服器請將Replica改為Primary)
CA Root憑證 : makecert -pe -n "CN=ReplicaTestRootCA" -ss root -sr LocalMachine -sky signature -r "ReplicaTestRootCA.cer"
個人的EKU憑證 : makecert -pe -n "CN=HV1" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "ReplicaTestRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 ReplicaTestCert.cer
2.彼此交換CA Root憑證,並匯入憑證資料庫中,匯入完成後可利用MMC憑證管理檢視憑證是否正確。
3.修正註冊機碼,停用憑證撤銷檢查,以下第2行命令是叢集環境使用,第1行是獨立伺服器環境。
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\FailoverReplication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
4.開始設定Hyper-V憑證式驗證複寫
