win2012時代:看證書如何雙向加密hyper-v 羣集複製?
安全很重要,如何構建安全也很關鍵,應用hyper-v虛擬技術給企業帶來了很多便利,也帶來了一些隱患,衆所周知的一個事實是:當數據以明文方式在網絡上傳輸是很不靠譜的。可是hyper-v羣集應用中也會出現這個情況,那麼如何保護數據呢?
答案是:證書加密(雙向驗證)
Hyper-v中已經給出了選項:
但是有一個情況是,此證書的要求還很特別。
那麼如何創建這類證書呢?
1.使用第三方申請(money)
2.使用自簽名證書(FREE)
對於企業CA來說這類證書,無法滿足製作需求,因爲無法滿足第二條要求(雙向EKU)。
那麼到底該如何創建滿足要求的FREE Certification ,這邊使用MAKECERT。
開始主題
將MAKECERT放入盤符根目錄
我們首先將創建一個根證書
再次創建計算機證書,這邊有兩類證書要創建,一個是hyper-v羣集共享域名證書,還有一個是節點域名證書
創建hyper-v羣集域名證書
創建節點1計算機證書
創建節點2計算機證書
Ok,到這邊證書就成功創建完成,下面開始導入證書。
將根證書導入受信任的頒發機構
將節點證書與羣集證書導入個人
導入完成
Ok,那麼我們還有一部分操作,證書都是會有時效期的,hyper-v默認情況下,需要進行證書吊銷檢查;不過自簽名證書不支持吊銷檢查。
我們使用以下命令導入主節點和副節點上的註冊表可禁用檢查:
然後我們開始配置hyper-v複製
然後選擇證書,選擇我們導入的羣集域名證書,很順利……^_^
然後在另一節點也把證書導入完成,然後配置就ok
當然記得配置防火牆放行列外通信端口
下邊來看看模型圖示:
以上爲本人工作之談,如有不足,請指正。