Um in unserer Lab Umgebung sinnvoll und „VMware konform“ einheitliche Zertifikate erstellen zu können, die durch eine Microsoft CA signiert sind, war es im voraus notwendig, ein Certificate Template zu erstellen.
Die folgende Anleitung orientiert sich dabei am VMware KB Artikel Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x/7.x
Der erste Schritt findet im „Certificate Templates“ MMC Snap-In statt. Hierzu optimalerweise per RDP auf dem Windows CA Server die mmc.exe starten und das Certificate Templates Snap-In hinzufügen.
Das Web Server Template duplizieren:
Nun öffnet sich das Properties Fenster und wir müssen einige Einstellunge anpassen.
Die Kompatibilität auf Windows 7 / Windows 2008 R2 stellen. Theoretisch geht’s auch höher, allerdings erhöht sich dadurch die Schema Version. Das wiederum hat zur Folge, dass es nicht mehr im Web Enrollment Interface zur Auswahl steht, da hier Templates nur bis Schema Version 2 angezeigt werden. Die tieferen Gründe sind mir unklar, aber nur so hat es funktioniert.
Display/Template Name unter General nach Wunsch setzen, in meinem Fall „VMware“:
Unter Extensions >> Applications Policies >> Edit, dann „Server Authentication“ auswählen >> Remove
Weiter unter Extensions >> Basic Constraints >> Edit den Haken bei Enable this extension setzen:
Auch unter Extensions >> Key Usage >> Edit den Haken bei Signature is proof of origin setzen:
Unter Subject Name sicherstellen, dass Supply in request aktiv ist:
Damit sind wir mit den Einstellungen durch und bestätigen mit OK.
Zum Abschluss muss das Template noch im Certification Authority Snap-In per Rechtsklick auf Certificate Templates >> New >> Certificate Template to issue zu den restlichen Templates hinzugefügt werden.
Die nächsten Schritte für mich sehen so aus, dass ich das Template für alle meine Lab-Zertifikats-Signierungen verwenden möchte. Ein erstes Beispiel habe ich mit VMware NSX ALB in einem Blog Artikel festgehalten.