Zertifikat für Windows Admin Center erstellen und installieren

    Zertifikat-SymbolInstalliert man das Windows Admin Center (WAC) auf einem Server, dann sollte der Browser mit dem Gateway über eine sichere Ver­bindung kommunizieren. Das WAC bringt dafür zwar ein Zerti­fikat mit, aber dieses ver­ursacht eine Sicher­heits­warnung des Browsers. Daher sollte man es durch ein eigenes Zerti­fikat ersetzen.

    Genau genommen handelt es sich beim Standard­zertifikat von Windows Admin Center um ein selbst­signiertes Zertifikat, das während der Installation generiert wird. Als Aussteller fungiert "Windows Admin Center" und es läuft nach 2 Monaten ab.

    Nachdem man normaler­weise nicht mit den ständigen Browser-Warnungen leben möchte, liegt es nahe, ein ordentliches Zertifikat auf dem Gateway-Server zu installieren.

    Das selbstsignierte Zertifikat von WAC führt zu Browser-Warnungen.

    Die Umgehung der Browser-Warnung durch eine unver­schlüsselte Verbindung zum WAC-Gateway lässt sich verhindern, indem man bereits beim Setup folgende Option aktiviert: HTTP-Datenverkehr (Port 80) zu HTTPS umleiten.

    Im gleichen Dialog findet sich darüber hinaus die Option, ein selbst­signiertes Zertifikat zu generieren. Dieses ist dann ebenfalls wieder nur 60 Tage lang gültig und anders als beim expliziten Aufruf des PowerShell-Cmdlets New-SelfSignedCertificate hat man keine Möglichkeit, irgendein Attribut mit einem bestimmten Wert zu belegen.

    Bei der Installation des WAC kann man gleich ein eigenes Zertifikat angeben.

    Als dritte Option erlaubt das Setup die Eingabe des Fingerabdrucks von einem Zertifikat, das bereits auf dem Computer installiert ist. Wenn man diese Möglichkeit nicht nutzt und vorerst mit dem Standard­zertifikat startet, dann findet man nachher im Admin Center keine Funktion, um dieses zu ersetzen.

    WAC-Installation für neues Zertifikat ändern

    Vielmehr muss man dafür erneut das Setup durch Aufruf der MSI-Datei starten, von der man WAC installiert hat.

    Die Einstellungen für das Zertifikat lassen sich nur über das Setup ändern.

    Es zeigt dann gleich im ersten Dialog die Schaltfläche Ändern, mit der man zur oben beschrie­benen Seite des Assistenten gelangt.

    Um das Zertifikat zu ändern, muss man das Setup von Windows Admin Center erneut starten.

    Wenn man noch kein SSL-Zertifikat für das Admin Center hat, dann liegt es nahe, ein solches über eine interne CA ausstellen zu lassen. Das kann man im Fall der Zertifikats­dienste von Microsoft über die MMC-basierte GUI tun. Wie man dabei vorgeht, beschreibt diese Anleitung.

    Zertifikat ausstellen über PowerShell oder Lets Encrypt

    Eine unkomplizierte Alternative stellt das Cmdlet Get-Certificate dar, besonders wenn das WAC-Gateway unter Server Core läuft. Als Einschränkung gilt jedoch, dass der private Schlüssel eines damit erstellten Zertifikats nicht exportierbar ist. Daher muss man es von dem Server aus anfordern, auf dem das Admin Center läuft.

    Soll das WAC von außerhalb der Firewall von Rechnern zugänglich sein, die nicht der Domäne angehören, dann könnte man ein kostenloses Zertifikat über Lets Encrypt beziehen.

    Fingerabdruck ermitteln

    Im letzten Schritt muss man den Fingerabdruck des Zertifikats, sobald es im lokalen Speicher installiert ist, in das Setup kopieren. PowerShell erlaubt es, diese Information schnell und einfach zu heraus­zufinden.

    Fingerabdruck des neuen Zertifikats anzeigen mit PowerShell

    Man wechselt dazu an den betreffenden Speicherort im Store, im Normalfall mit

    cd Cert:\LocalMachine\My\

    Ein

    Get-ChildItem | select Subject, Issuer, ThumbPrint | fl

    listet dort alle Zertifikate auf, für das gewünschte kopiert man dann den Fingerabdruck.

    Keine Kommentare