Tags: Windows Admin Center, Zertifikate
Installiert man das Windows Admin Center (WAC) auf einem Server, dann sollte der Browser mit dem Gateway über eine sichere Verbindung kommunizieren. Das WAC bringt dafür zwar ein Zertifikat mit, aber dieses verursacht eine Sicherheitswarnung des Browsers. Daher sollte man es durch ein eigenes Zertifikat ersetzen.
Genau genommen handelt es sich beim Standardzertifikat von Windows Admin Center um ein selbstsigniertes Zertifikat, das während der Installation generiert wird. Als Aussteller fungiert "Windows Admin Center" und es läuft nach 2 Monaten ab.
Nachdem man normalerweise nicht mit den ständigen Browser-Warnungen leben möchte, liegt es nahe, ein ordentliches Zertifikat auf dem Gateway-Server zu installieren.
Die Umgehung der Browser-Warnung durch eine unverschlüsselte Verbindung zum WAC-Gateway lässt sich verhindern, indem man bereits beim Setup folgende Option aktiviert: HTTP-Datenverkehr (Port 80) zu HTTPS umleiten.
Im gleichen Dialog findet sich darüber hinaus die Option, ein selbstsigniertes Zertifikat zu generieren. Dieses ist dann ebenfalls wieder nur 60 Tage lang gültig und anders als beim expliziten Aufruf des PowerShell-Cmdlets New-SelfSignedCertificate hat man keine Möglichkeit, irgendein Attribut mit einem bestimmten Wert zu belegen.
Als dritte Option erlaubt das Setup die Eingabe des Fingerabdrucks von einem Zertifikat, das bereits auf dem Computer installiert ist. Wenn man diese Möglichkeit nicht nutzt und vorerst mit dem Standardzertifikat startet, dann findet man nachher im Admin Center keine Funktion, um dieses zu ersetzen.
WAC-Installation für neues Zertifikat ändern
Vielmehr muss man dafür erneut das Setup durch Aufruf der MSI-Datei starten, von der man WAC installiert hat.
Es zeigt dann gleich im ersten Dialog die Schaltfläche Ändern, mit der man zur oben beschriebenen Seite des Assistenten gelangt.
Wenn man noch kein SSL-Zertifikat für das Admin Center hat, dann liegt es nahe, ein solches über eine interne CA ausstellen zu lassen. Das kann man im Fall der Zertifikatsdienste von Microsoft über die MMC-basierte GUI tun. Wie man dabei vorgeht, beschreibt diese Anleitung.
Zertifikat ausstellen über PowerShell oder Lets Encrypt
Eine unkomplizierte Alternative stellt das Cmdlet Get-Certificate dar, besonders wenn das WAC-Gateway unter Server Core läuft. Als Einschränkung gilt jedoch, dass der private Schlüssel eines damit erstellten Zertifikats nicht exportierbar ist. Daher muss man es von dem Server aus anfordern, auf dem das Admin Center läuft.
Soll das WAC von außerhalb der Firewall von Rechnern zugänglich sein, die nicht der Domäne angehören, dann könnte man ein kostenloses Zertifikat über Lets Encrypt beziehen.
Fingerabdruck ermitteln
Im letzten Schritt muss man den Fingerabdruck des Zertifikats, sobald es im lokalen Speicher installiert ist, in das Setup kopieren. PowerShell erlaubt es, diese Information schnell und einfach zu herauszufinden.
Man wechselt dazu an den betreffenden Speicherort im Store, im Normalfall mit
cd Cert:\LocalMachine\My\
Ein
Get-ChildItem | select Subject, Issuer, ThumbPrint | fl
listet dort alle Zertifikate auf, für das gewünschte kopiert man dann den Fingerabdruck.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Windows Admin Center 2211: Konfiguration von WDAC, erweiterter Support für Azure Stack HCI
- Let's Encrypt oder selbstsignierte Zertifikate für OPNSense verwenden
- Windows-Zertifizierungsstelle außer Betrieb nehmen
- Windows Admin Center 2208: WDAC-Unterstützung, finale SDN-Extension, UI-Update
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards