Mielőtt elkezdenénk, szerezzük be a makecert.exe programot a Microsoft weboldaláról. A makecert.exe részét képezi a Microsoft Windows SDK for Windows 7 and .NET Framework 4 csomagnak.
Végezzük el az alábbiakat az elsődleges (Primary) szerveren
- Nyissunk egy parancssori ablakot adminisztrátori jogokkal
Futtassuk az alábbi parancsot ön-aláírt gyökértanúsítvány létrehozásához
makecert -pe -n "CN=PrimaryTestRootCA" -ss root -sr LocalMachine -sky signature -r "PrimaryTestRootCA.cer"
A PrimaryTestRootCA.cer állományt másoljuk a c:\windows\system32 vagy a c:\windows\sysWOW64 könyvtárába az operációs rendszerünk függvényében
Az alábbi parancs segítségével hozzuk létre a szervertanúsítványunkat az előző pontban létrehozott gyökértanúsítvány segítségével
makecert -pe -n "CN=<FQDN>" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "PrimaryTestRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 PrimaryTestCert.cer
Helyettesítsük be az <FQDN> helyére a windows szerver teljes nevét. Pl.: win2012primary.mydomain.local
- A certlm program segítségével ellenőrizzük, hogy a létrehozott tanúsítványok (gyökértanúsítvány, szervertanúsítvány) bekerültek-e az aláírástárba.
Végezzük el az alábbiakat a másolati (Replika) szerveren
- Nyissunk egy parancssori ablakot adminisztrátori jogokkal
Futtassuk az alábbi parancsot ön-aláírt gyökértanúsítvány létrehozásához
makecert -pe -n "CN=RecoveryTestRootCA" -ss root -sr LocalMachine -sky signature -r "RecoveryTestRootCA.cer"
Az alábbi parancs segítségével hozzuk létre a szervertanúsítványunkat az előző pontban létrehozott gyökértanúsítvány segítségével
makecert -pe -n "CN=<FQDN>" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "RecoveryTestRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 RecoveryTestCert.cer
Helyettesítsük be az <FQDN> helyére a windows szerver teljes nevét. Pl.: win2012replica.mydomain.local
A RecoveryTestRootCA.cer állományt másoljuk a másolati szerverről az elsődleges szerver c:\windows\system32 vagy a c:\windows\sysWOW64 könyvtárába az operációs rendszerünk függvényében
Importáljuk be az elsődleges szerveren a másolati szerver gyökértanúsítványát az alábbi parancs segítségével
certutil -addstore -f Root "RecoveryTestRootCA.cer"
Másoljuk be a PrimaryTestRootCA.cer állományt az elsődleges szerverről a másolati szerverre és importáljuk be az alábbi parancs segítségévelcertutil -addstore -f Root "PrimaryTestRootCA.cer"
Alapértelmezett esetben a tanúsítványok visszavonásának ellenőrzése kötelező, azonban az ön-aláírt tanúsítványok nem támogatják a visszavonás-ellenőrzést. Azért, hogy ez ne okozzon problémát módosítsuk a registry beállításait az alábbi parancs segítségével mindkét szerveren
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f