Windows Admin Center 1809 selfsigned Zertifikat installieren und verteilen

Windows Admin Center 1809 selfsigned Zertifikat installieren und verteilen

Hallo zusammen,

da nun immer mehr WAC (Windows Administrative Center) Implementierungen aufkommen, habe ich mir heute die Frage gestellt, ob und wie es möglich ist das Zertifikat innerhalb des WAC zu tauschen, bzw. zu erneuern.

Für mein Testszenario habe ich mit OpenSSL und einer Konfigrationsdatei ein SSL Zertifikat für meinen WAC Server erstellt. Kann aber auch mit einem offiziellen Zertifikat so durchgeführt werden.

Ziel also folgendes Setup innerhalb der Domäne.

Meine Konfigurationsdatei sieht aktuell so aus.

###### config file

[req]

default_bits = 2048 prompt = no default_md = sha256 x509_extensions = v3_req distinguished_name = dn

[dn]

C = DE ST = BW L = Mengen O = IT emailAddress = XX@demo01.it-koehler.com CN = wac01-74.demo01.it-koehler.com

[v3_req]

subjectAltName = @alt_names

[alt_names]

DNS.1 = demo01.it-koehler.com DNS.2 = *.demo01.it-koehler.com DNS.3 = wac01-74 DNS.4 = localhost

OpenSSL mit folgenden Parametern starten (kann auf einem Rechner gestartet werden).

openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout "C:\temp\wac01-74.key" -days 3560 -out "C:\temp\wac01-74.crt" -config "C:\temp\wildcard.cfg"

Danach noch umwandeln in eine PFX Datei (mit Passwort):

openssl pkcs12 -export -out "C:\temp\wac01-74.pfx" -inkey "C:\temp\wac01-74.key" -in "C:\temp\wac01-74.crt"

Nun sollte im angegebenen Verzeichnis folgende Dateien vorhanden sein.

Diese PFX Datei kann nun auf dem WAC Server eingespielt werden. Dazu auf die Festplatte des Servers kopieren und das PFX auf dem Server installieren.

Der Schlüssel muss nicht zwingend exportierbar markiert werden, das kann aber unter Umständen helfen, falls die Originaldatei /Passwort verloren geht.

Die Datei muss in den Persönlichen Speicher der WAC Maschine geladen werden.

Für die Installation des Zertifikates benötigt man den Fingerabdruck (auf englisch Thumbprint)

Dieser lässt sich einfach per Powershell oder über die MMC (certlm.msc) auslesen.

Hier die Powershell Variante.

Get-ChildItem -Path cert:\LocalMachine\My\

In meinem Fall ist der Fingerabdruck schnell identifiziert.

Nun auf dem WAC Server die Installation des WAC nochmals starten (Install). Die bisherige Konfiguration bleibt vorhanden!

SSL Gateway Zertifikat mit dem kopierten Fingerabdruck ersetzen und dann „Ändern“.

Nur weil wir das Zertifikat auf dem Server installiert haben, heißt das noch lange nicht, dass dieses auch vertrauenswürdig ist. Deshalb erscheint nun beim aufrufen diese nette Warnung im Chrome.

Nun gibt es mehrere Möglichkeiten das Selfsigned Zertifikat zu verteilen. In meiner Demo Domäne entscheide ich mich für die Verteilung per GPO.

Dazu GPO Verwaltung auf dem DC öffnen und eine neue GPO erstellen.

In diese muss dann das Zertifikat bei Vertauenswürdige Stammzertifizierungsstellen importiert werden (dazu die vorher erstellte .CRT Datei auf einem Share oder auf den DC legen).

Diese GPO kann nun auf die Server/Client OU Verlinkt werden, dass das Zertifikat auf den gewünschten Maschinen als gültig erkannt wird.

Noch ein GPUPDATE /Force auf der Maschine hinterher und tadaa der Zugriff aufs WAC funktioniert ohne unschöne Zertifikatsmeldung.

Das Zertifikat sollte nun auch im WAC auftauchen.

Auf den anderen Servern kann nun ebenfalls mit dem richtigen Zertifikat zugegriffen werden (vorausgesetzt die GPO wird auf diesen angewendet).

Viel Spaß beim nachbauen, wenn euch der Artikel gefallen hat, dann drückt auf „Helpful“.

Vielen dank.