כיצד לבקש תעודות SSL משרת תעודות Windows עבור Hyper-V

Hyper-V מכיל כלים מובנים עבור שיבוץ VM ממארח Hyper-V אחד אל אחר. זה מועיל לצורך failover במקרה של כשל. לעיתים קרובות, שיבוץ Hyper-V מוגדר על שרתי Hyper-V המחוברים לדומיין של Active Directory ובתוך אשף. מכל זאת, אפשר להגדיר שיבוץ Hyper-V כאשר שרתים המריצים את Hyper-V נמצאים ב-Workgroup. כדי לעשות זאת, נדרשות אישורים.

פוסט בלוג זה מסביר כיצד ליצור אישורים כדי להגדיר שיבוץ Hyper-V ב-Workgroup באמצעות כלים מובנים של Windows Server 2016.

למה להשתמש באישורים עבור Hyper-V

שיבוץ המבוסס על אישור מאפשר לכם לשכפל מכונות וירטואליות מבלי להוסיף מארחי Hyper-V לדומיין או לאשף של Windows. התכונה הזו מאוד שימושית לחברות קטנות שיש להן שלושה או ארבעה שרתים ושאינן רוצות להפעיל אשף ולהגדיר דומיין באמצעות Active Directory.

סיבה נוספת להשתמש בשיבוץ Hyper-V עם אישורים ב-Workgroups היא בטיחות. אם שרתי Hyper-V המעורבים בתהליך השיבוץ של ה-VM הם חברים בדומיין, אלו יכולים להישלט באופן מלא אם למשתמש יש את אישורי הגישה לחשבון המנהל של Active Directory. בתרחישים לא רצויים מסוימים, כמו התקפות ransomware, עם אישורי המנהל של התחום AD, תוקפים יכולים להרוס את כל המידע על המשאבים שהם יכולים לגשת אליהם. זו הסיבה שזה עשוי להיות בטוח יותר במקרים מסוימים להשאיר שרתי Hyper-V המשמשים לשיבוץ VM ב-Workgroup.

סקירת השלבים העיקריים

לפני שנתחיל בהסבר מפורט של תהליך העבודה, נדגים את השלבים העיקריים שיש לבצע כדי להגדיר שיבוץ של Hyper-V בעבודה קבוצתית באמצעות תעודות.

• הגדרת שמות מארחים בשני שרתי Hyper-V. יש להפעיל תפקיד שרת Hyper-V.
• הפעלת תעבורת HTTPS וחיבורי נכנס דרושים בגישת הגנה של Windows.
• יצירת והגדרת תעודות בשרת הראשון. ייצוא/יבוא של תעודות.
• העתקת תעודות לשרת השני
• הגדרת שיבוץ בשרת השני באמצעות תעודות.
• הגדרת שיבוץ בשרת הראשון. חייבים שלא יהיו למכונות וירטואליות אף נקודות בדיקה.

בפוסט שלנו בבלוג, אנו משתמשים בשני מכונות Windows Server 2016 עם תפקיד Hyper-V מותקן.

הגדרת שמות מארחים בשרתים

נתחיל בעריכת שמות מארחים. יש להגדיר שמות DNS עבור השרת המקורי (השרת הראשי) והשרת המפלגה (השרת השני או השרת היעד). עליך להוסיף את הסיומת הראשית של DNS. שימוש בשמות דומיין מלאים (FQDN) דרוש כדי להשתמש בתעודות. בדוגמתנו, שמות השרתים הם:

Hyper-v-prim.test.net – השרת הראשי (השרת הראשון)

Hyper-v-repl.test.net – השרת המשכפל (השרת השני)

כדי לשנות שם מארח, פתח את הגדרות המערכת (לחיצה ימנית על סמל My Computer או This PC) ובקטע שם המחשב, דומיין והגדרות קבוצת עבודה, לחץ על הגדרות. בלשונית שם המחשב, לחץ על שנה. לאחר מכן, בחלון שינוי שם המחשב/דומיין, הזן שם מחשב, בחר קבוצת עבודה (לא דומיין), לחץ על עוד, והזן סיומת DNS ראשית של המחשב. כפי שצוין לעיל, שם מלא עם סיומת DNS נדרש למארחי Hyper-V כדי לאפשר שיבוץ באמצעות אישורים. סיומת היא test.net בדוגמתנו. אם שם המארח הוא hyper-v-prim, שם דומיין מלא הוא Hyper-v-prim.test.net עבור השרת הראשי שלנו.

בתמונת המסך למטה, תוכל לראות את הגדרות שם המחשב עבור השרת הראשי.

פעם שהגדרת שמות מארחים על שני השרתים, תוכל להתחיל ליצור אישורים בשרתים.

יצירת אישורים בשרת הראשי

אישורים ניתן ליצור באמצעות שימוש בשיטות מרובות. ממשק השורת פקודה משמש נפעל בדרך כלל למטרה זו. האפשרות הראשונה היא להשתמש בכלי MakeCert ליצירת אישורים שנחתכים בעצמם. כעת כלי MakeCert מיושן, ואנו הולכים להשתמש בפתרון אחר.

השתמש ב-New-SelfSignedCertificate ככלי אלטרנטיבי ומודרני לכלי MakeCert ליצירת אישורים שנחתכים בעצמם.

על המארח הראשי (Hyper-v-prim.test.net), הריץ את הפקודות הבאות בפוורשל (כמנהל) כדי ליצור תעודות:

New-SelfSignedCertificate -DnsName “Hyper-v-prim.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot

New-SelfSignedCertificate -DnsName “Hyper-v-repl.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot

לאחר מכן בדוק את התעודות שנוצרו והמשך להגדיר את השרת. יש ליצור שלוש תעודות לאחר הרצת הפקודות הללו (שתי תעודות שרת ותעודת שורש אחת).

בדיקת התעודות שנוצרו ב-MMC

פתח את MMC (מנהל התקשורת של מיקרוסופט) על השרת הראשון. כדי לפתוח את MMC, הקלד mmc בפוורשל).

הוסף גרפה חדשה ב-MMC כדי לנהל תעודות ב-GUI של Windows (ממשק משתמש גרפי).

לחץ על File > Add/Remove Snap-in…

בחלון שנפתח, בחר בעמודה השמאלית (Snap-ins זמינים) את Certificates, ולחץ על Add.

בחלון הקופץ, בחר Computer account, ולחץ על Next.

השאר את Local computer נבחר (הוא נבחר כבר כברירת מחדל), ולחץ על Finish.

יוצגו תעודות (מחשב מקומי) בעמודה הימנית (Snap-ins נבחרים) של החלון כעת.

בחלון Add or Remove Snap-ins, לחץ על OK (גרפה כבר נבחרה).

אתה יכול לשמור את ההוספה שהתקנת בממ"ח.

לחץ קובץ > שמור כ.

הזן שם קובץ, לדוגמה, Certificates1.msc.

עבור אל Certificates (Local Computer) / Personal / Certificates. תראה שני תעודות שיצרנו בפווושל לפני כן – Hyper-v-prim.test.net ו- Hyper-v-repl.test.net.

לחץ פעמיים על תעודה כדי לראות את פרטי התעודה. תעודת זיהוי עבור השרת השני (Hyper-v-repl.test.net) לא מאומתת כעת.

עבור אל Certificates (Local Computer) / Intermediate Certification Authorities / Certificates. מצא את התעודה CertReq Test Root שנדרשת לעבודה תקינה. לחץ פעמיים על התעודה הזו כדי לראות את הפרטים. תעודת ה- CA Root אינה מאומתת.

העתק את תעודת ה- CertReq Test Root מתוך Intermediate Certification Authorities / Certificates אל Trusted Root Certification Authorities / Certificates כדי להוסיף אמון לתעודות. בחר את התעודה, לחץ Ctrl+C כדי להעתיק ו- Ctrl+V כדי להדביק.

תעודת ה- CertReq Test Root חייבת להימצא בתוך Trusted Root Certification Authorities / Certificates (כפי שמוצג בתמונת המסך למטה).

בדוק את התעודות שנמצאות ב אישי/תעודות שוב. ראשית, בדוק את התעודה עבור שרת שיבוץ (Hyper-v-repl.test.net). התעודה כעת זוכה לאמון ויש לה תאריך תפוגה שניתן לראות בלשונית כללי. כעת אתה גם יודע איך לבדוק את תאריך תפוגת תעודת SSL בחלונות.

בדוק פרמטרים נוספים עבור התעודה בלשונית פרטים (שימוש מורחב במפתח) ובלשונית נתיב התעודה. התעודה הזו בסדר.

אז בדוק את התעודה עבור השרת הראשי בדיוק כמו שבדקת את התעודה עבור שרת השיבוץ.

הגדרנו תעודות עבור השרת הראשי (Hyper-v-prim.test.net), ועכשיו אנו צריכים להגדיר את התעודה על השרת השני. עלינו להעתיק את התעודות הנדרשות לשרת השני (Hyper-v-repl.test.net) שם הרפליקות יאוחסנו. על מנת לעשות זאת, יש לייצא את התעודות.

ייצוא תעודה מהשרת הראשון

בשרת הראשון, בחר את התעודה הנדרשת לשרת השני (Hyper-v-repl.test.net) שנמצאת בתיקייה אישי/תעודות. לחץ על התעודה עם הכפתור הימני של העכבר ובתפריט ההקשר לחץ על כל המשימות > יצוא.

אשף ייצוא התעודות ייפתח.

1. ברוך הבא אין מה להגדיר במסך הברוך הבא. לחץ על הבא בכל שלב כדי להמשיך.

2. ייצוא מפתח פרטי בחר כן, ייצא את המפתח הפרטי.

3. פורמט ייצוא קובץ. בחר החלפת מידע אישי – PKCS #12 (.PFX), ובחר כלל התעודות בנתיב התעודה אם זה אפשרי.

4. אבטחה. הזן סיסמה לשמירה על האבטחה ולהגנה על המפתח הפרטי.

5. קובץ לייצוא. ציין את שם והמיקום של הקובץ שברצונך לייצא, לדוגמה, C:\temp\Hyper-v-repl.pfx

6. השלמת אשף ייצוא התעודות. בדוק את ההגדרות ולחץ על סיום.

תראה את ההודעה: הייצוא הצליח. זה אומר שהכול בסדר.

ייצוא התעודה השורש מהשרת הראשון

יצאו שתי תעודות. עכשיו עליך לייצא את תעודת השורש באותו אופן. פעולות מבוצעות על השרת הראשון (Hyper-v-prim.test.net).

בחר בתעודת CertReq Test Root הנמצאת בתוך רשויות אישור שורש אמינות / תעודות.

לחץ על התעודה עם העכבר הימני; לחץ על כל המשימות > ייצוא.

אשף ייצוא התעודות נפתח.

1. ברוך הבא. לחץ על הבא כדי להמשיך.

2. פורמט ייצוא קובץ. בחר בפורמט שברצונך להשתמש בו:

DER encoded binary X.509 (.CER)

3. קובץ לייצוא. הזן את שם הקובץ והנתיב לשמירת הקובץ, לדוגמה, C:\temp\testRoot.cer

4. השלמת אשף יצוא התעודות. בדוק את התצורה וסיים את הייצוא.

התעודות ייוצאו לקבצי Hyper-v-repl.pfx ו־TestRoot.cer הממוקמים כעת בתיקיית C:\temp\ בשרת הראשון.

העתקת התעודות המיוצאות לשרת השני

העתק את קבצי התעודות השניים שיוצאו (Hyper-v-repl.pfx ו־TestRoot.cer) מהשרת הראשון לשרת השני.

אנו מעתיקים קבצים אל C:\temp\ בשרת השני.

ניתן להשתמש בנתיב הרשת \\Hyper-v-repl\C$ או \\192.168.101.213\C$ כדי להעתיק תעודות באמצעות הרשת (היכן ש־192.168.101.213 הוא כתובת ה־IP של שרת השכפול במקרה שלנו). יש לאפשר התקנת חומת אש לחיבורים בפרוטוקול SMB.

ייבוא התעודות בשרת השני

לאחר שהעתקת את התעודות לשרת השכפול, עליך לייבא את התעודות אל שרת השכפול.

פתח את MMC בשרת השכפול (השרת השני) בדיוק כמו שעשית בשרת הראשי.

הוסף snap-in בחלון ה־MMC.

לחץ על קובץ > הוספת/הסרת Snap In.

בחר תעודות, לחץ על הוספה.

חשבון מחשב, ובחרו מחשב מקומי.

לחצו על אישור.

כקיצור דרך לפתיחת סנאפ-אין זה בממשק המשתמש של Windows, תוכלו להשתמש בפקודה ב- CMD או PowerShell של Windows:

certlm.msc

הפקודה הזו פותחת את מנהל התעודות של Windows (קונסולת ניהול תעודות) כדי להגדיר תעודות מכונה מקומית.

עברו אל תעודות (מחשב מקומי) / אישי.

לחצו כפתור ימני על השטח הריק ובתפריט ההקשר, לחצו על כל המשימות > יבוא.

אשף יבוא התעודות ייפתח.

1. ברוך הבא. בחרו מכונה מקומית.

2. קובץ לייבוא. עיינו בקובץ Hyper-v-repl.pfx. לחצו על עיון, בחרו להציג את כל הקבצים, ובחרו Hyper-v-repl.pfx

3. הגנת המפתח הפרטי. הזינו את הסיסמה שהגדרתם בעת ייצוא התעודה.

4. חנות התעודות. הניחו את כל התעודות בחנות הבאה:

חנות תעודות: אישי

5. לסיום אשף יבוא התעודות. בדקו את ההגדרות, ולחצו על סיום.

אם הכול תקין, תראו את ההודעה: הייבוא הצליח.

Hyper-v-repl.test.net התעודה נמצאת ב־תעודות (מחשב מקומי) / אישי / תעודות בשרת השכפול (השרת השני). במקרה שלנו, התעודה CertReq Test Root נמצאת גם במיקום זה.

התעודה CertReq Test Root חייבת להימצא ב־רשותיות לאימות על פי התעודה / תעודות. העתק את התעודה למיקום הנדרש. תוכל לייבא את התעודה TestRoot.cer באופן ידני בדיוק כמו שייבאת את Hyper-v-repl.pfx

בדיקת ביטול תעודה

שים לב שבדיקת ביטול תעודה היא חובה כברירת מחדל, ותעודות שנחתמות עצמן אינן תומכות בבדיקות ביטול ב־Windows Server 2012. מכאן, עליך לבטל את בדיקות ביטול התעודות עבור תעודות בדיקה. הוסף הגדרות לרגיסטרי של Windows בשני המחשבים. הרץ את הפקודה הבאה ב־CMD או PowerShell כמנהל.

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

עשוי להיות עליך לאתחל את המחשב.

פתרון שמות מארחים

הוסף רשומות לקובץ hosts (C:\Windows\system32\drivers\etc\hosts) בשני המחשבים כדי לאפשר פתירת שמות מארחים לכתובות IP בעת העבודה בקבוצת עבודה (כאשר המחשבים אינם חברים בתחום של פעיל ב־Active Directory). במקרה שלנו, אנו מוסיפים את השורות הבאות לקובץ המארחים בשני השרתים:

192.168.101.209 Hyper-v-prim.test.net

192.168.101.213 Hyper-v-repl.test.net

הגדרת הגדרות שיבוץ על שרת רפליקה

בצע את הפעולות הבאות בשרת השני שבו יש לאחסן רפליקות VM.

פתח את מנהל ה-Hyper-V.

לחץ ימני על שרת הרפליקה (Hyper-v-repl.test.net במקרה שלנו) ובתפריט ההקשר, לחץ על הגדרות Hyper-V.

בחר בלוח השמאלי של חלון הגדרות Hyper-V, בחר תצורת רפליקציה.

בחר בתיבות הסימון הללו בתוך תצורת רפליקציה:

• אפשר מחשב זה כשרת רפליקה
• השתמש באימות מבוסס תעודות (HTTPS)

לחץ על בחר תעודה.

חלון העלייה של אבטחת חלונות מציג מידע אודות התעודה שלך. לחץ על אישור כדי לבחור את התעודה הזו.

ב-תצורת רפליקציה, בחר באפשרות אפשר רפליקציה מהשרתים המסוימים ולחץ על הוסף.

הגדר פרמטרים בחלון הוסף רשומת אישור.

ציין את השרת הראשי: Hyper-v-prim.test.net

ציין את המיקום המוגדר כברירת מחדל לאחסון קבצי רפליקה: C:\Hyper-V\Virtual Hard Disks\ (זו דוגמה – השתמש במיקום המותאם אישית שלך שאינו ב-C:)

ציין את קבוצת האמון: רפליקציה

הגדרת חומת האש של Windows

הגדר חוסם אש לאפשר תעבורה נכנסת. הפעל חיבורי TCP נכנסים בפורט 443 על השרת המשני (או השבת את החוסם זמנית למטרות בדיקה).

Enable-Netfirewallrule -displayname "Hyper-V Replica HTTPS Listener (TCP-In) “

הגדרת שיבוץ בשרת הראשון

צור מכונה וירטואלית בשרת ה- Hyper-V הראשי לשיבוץ. ודא שהמכונה המקורית אין לה צילומי מסך לפני הפעלת השיבוץ. הפעל את השיבוץ במכונה הראשונה, המהווה את השרת הראשי (Hyper-v-prim.test.net במקרה שלנו).

לחץ על מכונה וירטואלית ובתפריט ההקשר, לחץ על הפעל שיבוץ.

אשף הפעל שיבוץ ייפתח.

לפני ההתחלה. לחץ על הבא כדי להמשיך.

ציין שרת שיבוץ. הזן את שם השרת שלך לשיבוץ. במקרה שלנו, אנו משתמשים ב־ Hyper-v-repl.test.net כשרת שיבוץ.

ציין פרמטרי חיבור. בחר השתמש באימות מבוסס תעודת אבטחה (HTTPS), ולחץ על בחר תעודה.

ברגע שתלחץ על בחר תעודה, חלון קופץ יפתח עם פרטים על התעודה שהגדרת לפני. לחץ על אישור כדי להשתמש בתעודה זו.

הגדר הגדרות שכפול כמו תמיד כדי להשלים את התצורת שכפול בשרת המקור.

בחר VHDs לשכפול. בחר את דיסקי הווירטואליים של ה-VM שיש לשכפל. אפשר לבחור את כל דיסקי הווירטואליים של ה-VM או רק חלק מהם.

הגדר תדיד שכפול. בחר בתדיד שבו השינויים נשלחים לשרת הרפליקה, לדוג' 5 דקות.

הגדר נקודות שחזור נוספות עבור מכונת ה-VM הווירטואלית הזו. בדוגמה שלנו, אנו בוחרים ליצור נקודות שחזור נוספות בהיקף שעתי. בחר אפשרויות שמתאימות לצרכיך. נקודות השחזור הן תוצאה של שכפול על-ידי צילומיות (snapshot-based).

בחר שיטת שכפול ראשונית. בחר שליחת העתק ראשוני דרך הרשת.

לחץ סיום כדי לסיים את התצורה של שכפול Hyper-V טבעי באמצעות תעודות בקבוצת עבודה, וסגור את האשף.

אלטרנטיבות לשכפול טבעי של Hyper-V

היכולות המובנות של Hyper-V לבצע שכפול הם שימושיות. אך לפעמים עשויות להיות צורך ביכולות מורחבות יותר לביצוע שכפול של Hyper-V ולשחזור של מכונת ה-VM הווירטואלית. קיימת אלטרנטיבה טובה לשכפול טבעי של Hyper-V.

NAKIVO Backup & Replication היא פתרון להגנת נתונים אוניברסלי שיכול לגבות מכונות וירטואליות של Hyper-V ולבצע שחזור של VM. המוצר תומך בשכפול של Hyper-V בדומיינים של Active Directory ובקבוצות עבודה. היכולות הבאות כלולות:

• שימוש בשימור מודעות אפליקציה. הנתונים בשיבוץ של מכונת וירטואלית עומדים בקריטריון הקונסיסטנטיות כאשר משכפלים מכונה וירטואלית במצב פועל עקב שימוש בשירות Microsoft Volume Shadow Copy (VSS) הפועל בתוך מכונות וירטואליות.
• שימור ברמת צמיחה באמצעות ניטור שינויים עמיד של Microsoft (RCT) מאפשר לך לחסוך בשטח אחסון וזמן. ההרצה הראשונה של משימת שימור מעתיקה את כל הנתונים של מקור ה-VM, ואז נעתקים רק הנתונים ששונו על ידי יצירת נקודות השחזור המתאימות עבור שיבוץ VM.
• הגדרות שימור גמישות ו מדיניות שימור GFS. שמור על טווח רחב של נקודות השחזור למשך תקופות זמן שונות, וייעוץ את השטח האחסון המשומש במחסן גיבוי.
• האצת רשת מגבירה את מהירות השימור על ידי שימוש בדחיסת נתונים, ממליצה על זמן.
• סילוק יומנים עבור Microsoft Exchange ו־SQL כדי לחסוך בשטח אחסון עבור Hyper-V VMs הפועלות במסד נתונים כאשר משכפלות אותן.
• הפעלת VM אוטומטית מאפשרת לך לשחזר מכונה בזמן קצר.
• שחזור באתר מאפשר לך ליצור תרחישי שחזור מסיביים מורכבים עם פעולות מרובות, כולל שיבוץ והפעלה מחדש של Hyper-V VMs.

אתה יכול לשחזר מכונה מגיבוי של שרת פיזי ל-VM, או לשחזר גיבוי של Hyper-V VM ל-VMware VM. אל תחכה לאסון – הורד את NAKIVO Backup & Replication והגן על ה-Hyper-V VMs שלך היום!

מסקנה

שימוש כפל Hyper-V חשוב להגנה על מכונות וירטואליות של Hyper-V ולהבטיח שתוכל לשחזר נתונים ועומסי עבודה בזמן קצר לאחר כל כשל. לפעמים עשוי להיות צורך להגדיר שימוש כפל Hyper-V בסביבות לא בתחום כאשר שרתי Hyper-V אינם חברים בתחום של Active Directory ומשתייכים לקבוצת עבודה.

עליך ליצור תעודות חתומות עצמית לשם שימוש כפל של מכונות וירטואליות של Hyper-V בקבוצת עבודה ולהגדיר אימות עבור שרתי Hyper-V באמצעות תעודות אלו. הגדרה תחול על שמות מארחים, חומת אש, ובדיקת ביטול תעודות לפני הגדרת שימוש כפל של מכונות וירטואליות בשרתי Hyper-V.