Hyper-V Replica: VM-Replikation mit Zertifikaten verschlüsseln

    Zertifikat-basierte Verschlüsselung der VM-RepliaktionDie Replikation von virtuellen Maschinen zwischen Hyper-V-Hosts erfolgt in AD-Strukturen am einfachsten mit Hilfe von Kerberos. Um den Datenverkehr jedoch abhörsicher zu machen, bedient man sich der verschlüsselten Variante. Als Basis für die nachfolgende Anleitung dienen die Active Directory Certificate Services (AD CS) sowie Standalone-Hosts unter Hyper-V.

    Es gibt für Replica mehrere Möglichkeiten, Zertifikate auszustellen und einzubinden: über kostenlose Tools wie makecert, kosten­pflichtige SSL-Dienste wie beispielsweise von Symantec und GoDaddy oder die Active Directory Certificate Services (AD CS). Nötig werden diese auf jeden Fall, wenn es keine Kerberos-Authentifizierung gibt, zum Beispiel bei Hosts, die sich nur in Arbeitsgruppen befinden.

    Zertifikate ausstellen

    Ausgangspunkt ist eine funktionierende Zertifizierungsstelle, die als Rolle auf einem bestehenden Windows Server installiert wurde. Starten Sie jetzt auf dem Hyper-V Host über Start => Ausführen eine Instanz von mmc.exe und fügen Sie das Snap-In Zertifikate hinzu. Dieses sollte die Zertifikate für das Computerkonto und den lokalen Computer verwalten. Unter Eigene Zertifikate fordern Sie nun ein neues Zertifikat an und akzeptieren die Active Directory-Registrierungsrichtlinie für Computer.

    Über das Kontextmenü von 'Eigene Zertifikate' wird ein neues Zertifikat angefordert.

    Das X.509v3-Zertifikat wurde nun von der eigenen CA für den Hyper-V-Server registriert und kann über den Hyper-V Manager eingebunden werden. Stellen Sie auf jedem beteiligten Host ein entsprechendes Zertifikat aus, um seine Identität zu bestätigen. Die Erweiterte Schlüsselverwendung des Zertifikates sollte Clientauthentifizierung und Serverauthentifizierung enthalten und der alternative Antragstellername (DNS-Name) muss auf den FQDN des Servers lauten.

     Ausgestelltes Zertifikat im Speicher Eigene Zertifikate.

    Öffnen Sie nun sicherheitshalber auf den Hyper-V-Hosts eine cmd.exe und lassen Sie den Zertifikatspeicher inklusive Zertifikate mit certutil –store my überprüfen. Dadurch sollte ein Verschlüsselungstest durchgeführt und erfolgreich beendet werden.

    Replikation über HTTPS aktivieren

    Sobald die Zertifikate erfolgreich ausgestellt wurden, aktiviert man die verschlüsselte Replikation (lesen Sie dazu für das genaue Vorgehen meinen Beitrag Hyper-V Replica: Virtuelle Maschinen an andere Standorte übertragen). Der erste Schritt für die Replikation über HTTPS besteht in ihrer Aktivierung auf dem Replikatserver.

    Zertifikat auf dem Replikatserver auswählen.

    Sobald die Checkbox auf Zertifikatbasierte Authentifizierung gesetzt ist, können Sie das zuvor ausgestellte Zertifikat auswählen. Die Vorschau zeigt hier auch noch einmal deutlich, auf welchen Namen es ausgestellt wurde und welche CA es beglaubigt hat.

    Als nächstes aktivieren Sie auf dem primären Server die Replikation im Kontextmenü einer VM, die auf den Replikatserver übertragen werden soll. Nachdem Sie Letzteren ausgewählt haben, müssen Sie die Verbindungsparameter festlegen, nämlich die zertifikatbasierte Authentifizierung über Hypertext Transfer Protocol Secure (HTTPS) Port 443. Wählen Sie auch hier das entsprechende Zertifikat für den primären Host aus.

    Schließlich werden über den Wizard noch die zu replizierenden VHD(X)-Laufwerke abgefragt, die Replikationsfrequenz, nötige Wiederherstellungspunkte und die Replikationsmethode. Nach der Zusammenfassung wird die virtuelle Maschine verschlüsselt an den Replikatserver gesandt.

    Firewall-Regel für HTTPS-Replikation aktivieren

    Voraussetzung für den erfolgreichen Empfang von Daten am Replikatserver ist wie bei der Konfiguration mit Kerberos, dass der benötigte Port in der Firewall geöffnet wird. Rufen Sie zu diesem Zweck am Replikatserver wf.msc auf und aktivieren die eingehende Firewall-Regel Hyper-V Replikat - HTTPS Listener (TCP eingehend).

    Die Windows-Firewall enthält eine vordefinierte Regel für die verschlüsselte Replikation von VMs.

    Um zu sehen, ob der primäre Server seine Daten tatsächlich über HTTPS an den Replikatserver sendet, können Sie einfach netstat in der Eingabeaufforderung starten. Am besten tun Sie das beim initialen Senden der VM.

    Netstat liefert den Beweis: Der Remoteserver wird über https angesprochen.

    Auch die PowerShell liefert mit dem Cmdlet Get-VMReplication detaillierte Informationen über die Konfiguration der vorangegangenen Replikation.

    Replikation und Gültigkeit der Zertifikate überwachen

    Die verschlüsselte Replikation von VMs setzt natürlich voraus, dass die verwendeten Zertifikate gültig sind. In der Regel laufen diese aber nach 1 Jahr ab und müssen anschließend dementsprechend erneuert werden. Die Replikation gerät bei Ablauf der Zertifikate in einen kritischen Zustand.

    Ich habe ein PowerShell Script geschrieben, welches in die Aufgabenplanung des Servers eingebunden wird und so regelmäßig einen kurzen Statusbericht per E-Mail versendet:

    Überprüfen Sie auch hin und wieder die Eventlogs des Hypervisors unter Ereignisanzeige => Anwendungs- und Dienstprotokolle => Microsoft => Windows => Hyper-V-VMMS. Hier finden sich auch wichtige Ereignisse zur Replikation.

    Keine Kommentare