Erstellen eines Microsoft CA Certificate Templates für vSphere 6.x/7.x

Um in unserer Lab Umgebung sinnvoll und „VMware konform“ einheitliche Zertifikate erstellen zu können, die durch eine Microsoft CA signiert sind, war es im voraus notwendig, ein Certificate Template zu erstellen.

Die folgende Anleitung orientiert sich dabei am VMware KB Artikel Creating a Microsoft Certificate Authority Template for SSL certificate creation in vSphere 6.x/7.x

Der erste Schritt findet im „Certificate Templates“ MMC Snap-In statt. Hierzu optimalerweise per RDP auf dem Windows CA Server die mmc.exe starten und das Certificate Templates Snap-In hinzufügen.

MMC Snap-In for Certificate Templates

Das Web Server Template duplizieren:

Duplicate Web Server Template

Nun öffnet sich das Properties Fenster und wir müssen einige Einstellunge anpassen.

Die Kompatibilität auf Windows 7 / Windows 2008 R2 stellen. Theoretisch geht’s auch höher, allerdings erhöht sich dadurch die Schema Version. Das wiederum hat zur Folge, dass es nicht mehr im Web Enrollment Interface zur Auswahl steht, da hier Templates nur bis Schema Version 2 angezeigt werden. Die tieferen Gründe sind mir unklar, aber nur so hat es funktioniert.

Compatibilty set to Win 2008 R2 / Win 7

Display/Template Name unter General nach Wunsch setzen, in meinem Fall „VMware“:

Set Template Name to VMware

Unter Extensions >> Applications Policies >> Edit, dann „Server Authentication“ auswählen >> Remove

Server Authentication must be removed

Weiter unter Extensions >> Basic Constraints >> Edit den Haken bei Enable this extension setzen:

Basic Constraints – Enable this extension

Auch unter Extensions >> Key Usage >> Edit den Haken bei Signature is proof of origin setzen:

Key Usage – activate Signature is proof of origin

Unter Subject Name sicherstellen, dass Supply in request aktiv ist:

Subject Name – Supply in the request

Damit sind wir mit den Einstellungen durch und bestätigen mit OK.

Zum Abschluss muss das Template noch im Certification Authority Snap-In per Rechtsklick auf Certificate Templates >> New >> Certificate Template to issue zu den restlichen Templates hinzugefügt werden.

Certificate Template to issue

Die nächsten Schritte für mich sehen so aus, dass ich das Template für alle meine Lab-Zertifikats-Signierungen verwenden möchte. Ein erstes Beispiel habe ich mit VMware NSX ALB in einem Blog Artikel festgehalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert