証明書
自己署名ルート証明書作成
Hyper-Vホストとの混乱を避けるため別ホスト(Windows10)で証明書作成を実行する。
PowerShellを管理者モードで実行。
$rootCert = New-SelfSignedCertificate -CertStoreLocation "Cert:\localMachine\My" -DnsName "MyRootCA" -TextExtension @("2.5.29.19={text}CA=true") -KeyUsage CertSign,CrlSign,DigitalSignature -NotAfter 2029/12/31
Hyper-Vホスト証明書作成
引き続き別ホスト(Windows10)で実行する
自己署名ルート証明書を使用する
| SVHV-1230.local プライマリホスト側 | SVHV-1231.local レプリカホスト側 |
| New-SelfSignedCertificate -Subject SVHV-1230.local -DnsName SVHV-1230.local -CertStoreLocation "Cert:\localMachine\My" -HashAlgorithm SHA256 -KeyAlgorithm RSA -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter 2029/12/31 -Signer $rootCert | New-SelfSignedCertificate -Subject SVHV-1231.local -DnsName SVHV-1231.local -CertStoreLocation "Cert:\localMachine\My" -HashAlgorithm SHA256 -KeyAlgorithm RSA -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter 2029/12/31 -Signer $rootCert |
MMC起動
ファイル名を指定して実行-mmc
ファイル-スナップインの追加と削除-証明書 (追加)
コンピューターアカウント
ローカルコンピューター
証明書エクスポート
コンソールルート-証明書(ローカルコンピューター)
個人-証明書
1-1,1-2で作成したMyRootCA,SVHV-1230.local,SVHV-1231.localの証明書が格納されている。
それぞれの証明書を秘密キー有・無でエクスポートする
| 発行先 | 秘密キー有+パスワード設定 | 秘密キー無 |
| ルート証明書 MyRootCA | MyRootCA.pfx | MyRootCA.cer |
| ホスト証明書 SVHV-1230.local | SVHV-1230.pfx | SVHV-1230.cer |
| ホスト証明書 SVHV-1231.local | SVHV-1231.pfx | SVHV-1231.cer |
ルート証明書エクスポート ホスト証明書はルート証明書同様にエクスポートを行う
| MyRootCA.pfx | MyRootCA.cer |
 |
|
 |
|
 |
 |
 |
 |
 |
|
 |
|
 |
 |
 |
 |
 |
|
 |
|
証明書登録(インポート)
1-4でエクスポートしたファイルをそれぞれのホストにコピーしておく
それぞれのホストで1-3手順でmmcを起動する
| ホスト | SVHV-1230.local | SVHV-1231.local |
| 個人-証明書(自ホスト=秘密鍵付き) | SVHV-1230.pfx | SVHV-1231.pfx |
| 個人-証明書(レプリカ相手先ホスト) | SVHV-1231.cer | SVHV-1230.cer |
| 信頼されたルート証明書-証明書 | MyRootCA.cer | MyRootCA.cer |
ルート証明書
自ホスト・レプリカ相手先共行う
自ホスト(秘密鍵付き)証明書のインポート
| SVHV-1230.local | SVHV-1231.local |
 |
|
 |
|
 |
 |
 |
|
 |
|
 |
 |
 |
 |
他ホスト(レプリカ相手先)証明書のインポート
 |
 |
 |
 |
レプリカ環境での自己発行証明書の有効化
レジストリを設定し、自己発行証明書を利用可能とする(証明書有効期限チェックの無効化)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
レプリカ反転のための設定
レプリカの「反転」など相手先サーバーへの確認処理が必要な操作を行う場合、
WorkGroup環境では相手サーバーがTrustedHostsに定義されている必要がある。
PowerShellを管理者モードで起動
この設定を行っていなかったためレプリカの反転ではまる。。
| SVHV-1230.local側 | SVHV-1231.local側 |
| Set-Item WSMan:\localhost\Client\TrustedHosts -Value SVHV-1231.local | Set-Item WSMan:\localhost\Client\TrustedHosts -Value SVHV-1230.local |
 |
 |
各ホストのHyper-Vマネージャー設定(PowerShellでも可能)
操作-Hyper-Vの設定
| SVHV-1230.local側 | SVHV-1231.local側 |
 |
 |
レプリカ完了
| SVHV-1230.local側 | SVHV-1231.local側 |
 |
 |
その他
↑設定で運転しておりましたが、今後のメンテナンスを考慮し当方法で証明書を再作成設定を施しました。
2014年よりWS2012R2ホスト保守切れに伴うWS2019リプレースとなります。WorkGroupでのレプリカ記事は極端に少なく苦労。とくにレプリカの反転ができずにWorkGroup環境だからかな?とモンモンとしていました。
コメント