Cách yêu cầu chứng chỉ SSL từ máy chủ chứng chỉ Windows cho Hyper-V
Hyper-V có các công cụ tích hợp sẵn để sao chép máy ảo (VM) từ một máy chủ Hyper-V sang máy chủ khác. Tính năng này rất hữu ích cho việc chuyển đổi dự phòng trong trường hợp xảy ra sự cố. Thông thường, sao chép Hyper-V được cấu hình trên các máy chủ Hyper-V kết nối với miền Active Directory và nằm trong cụm máy chủ. Tuy nhiên, vẫn có thể cấu hình sao chép Hyper-V khi các máy chủ chạy Hyper-V nằm trong nhóm làm việc (Workgroup). Để thực hiện điều này, bạn cần có chứng chỉ.
Bài viết blog này giải thích cách tạo chứng chỉ để cấu hình sao chép Hyper-V trong nhóm làm việc bằng cách sử dụng các công cụ tích hợp sẵn của Windows Server 2016.
Tại sao nên sử dụng chứng chỉ cho Hyper-V
Sao chép dựa trên chứng chỉ cho phép bạn sao chép máy ảo mà không cần thêm máy chủ Hyper-V vào miền Windows hoặc cụm máy chủ. Tính năng này đặc biệt hữu ích cho các công ty nhỏ có ba hoặc bốn máy chủ và không muốn triển khai cụm máy chủ cũng như cấu hình miền bằng Active Directory.
Một lý do khác để sử dụng sao chép Hyper-V với chứng chỉ trong môi trường Workgroup là vấn đề bảo mật. Nếu các máy chủ Hyper-V tham gia vào quá trình sao chép máy ảo là thành viên của một miền, các máy chủ Hyper-V này có thể bị kiểm soát hoàn toàn nếu người dùng có thông tin đăng nhập vào tài khoản quản trị Active Directory. Trong một số tình huống không mong muốn, chẳng hạn như các cuộc tấn công ransomware, với thông tin đăng nhập của quản trị viên miền AD, kẻ tấn công có thể phá hủy tất cả thông tin trên các tài nguyên mà chúng có thể truy cập. Đó là lý do tại sao trong một số trường hợp, việc để các máy chủ Hyper-V được sử dụng cho sao chép máy ảo ở chế độ Workgroup có thể an toàn hơn.
Hyper-V hỗ trợ hai loại xác thực: Kerberos và chứng chỉ HTTPS. Kerberos được sử dụng cho các máy tính trong miền Active Directory, còn chứng chỉ HTTPS được sử dụng trong môi trường không thuộc miền. Yêu cầu chứng chỉ SSL được thực hiện khi sử dụng kết nối HTTPS an toàn.
Tổng quan về các bước chính
Trước khi bắt đầu giải thích chi tiết về quy trình làm việc, hãy liệt kê các bước chính cần thực hiện để cấu hình sao chép Hyper-V trong Workgroup bằng chứng chỉ.
- Cấu hình tên máy chủ trên cả hai máy chủ Hyper-V. Vai trò máy chủ Hyper-V phải được kích hoạt.
- Kích hoạt lưu lượng HTTPS và các kết nối đến cần thiết trong Tường lửa Windows.
- Tạo và cấu hình chứng chỉ trên máy chủ đầu tiên. Xuất/nhập chứng chỉ.
- Sao chép chứng chỉ sang máy chủ thứ hai
- Cấu hình sao chép trên máy chủ thứ hai bằng cách sử dụng chứng chỉ.
- Cấu hình sao chép trên máy chủ đầu tiên. Các máy ảo (VM) không được có bất kỳ điểm kiểm tra nào.
Trong bài viết trên blog của chúng tôi, chúng tôi sử dụng hai máy Windows Server 2016 có cài đặt vai trò Hyper-V.
Cấu hình tên máy chủ trên các máy chủ
Hãy bắt đầu bằng việc chỉnh sửa tên máy chủ. Cấu hình tên DNS cho máy chủ nguồn (máy chủ chính) và máy chủ bản sao (máy chủ thứ hai hoặc máy chủ đích). Bạn nên thêm hậu tố DNS chính. Việc sử dụng tên miền đầy đủ (FQDN) là bắt buộc để sử dụng chứng chỉ. Trong ví dụ của chúng tôi, tên của các máy chủ là: Hyper-v-prim.test.net – máy chủ chính (máy chủ thứ nhất)
Hyper-v-repl.test.net – máy chủ bản sao (máy chủ thứ hai)
Để thay đổi tên máy chủ, hãy mở cài đặt hệ thống (nhấp chuột phải vào biểu tượng Máy tính của tôi hoặc Máy tính này) và trong phần Cài đặt tên máy tính, miền và nhóm làm việc , nhấp vào Settings. Trong tab Tên máy tính , nhấp vào Change. Sau đó, trong cửa sổ Thay đổi tên máy tính/miền , nhập tên máy tính, chọn Workgroup (không phải miền), nhấp vào Morevà nhập hậu tố DNS chính của máy tính. Như đã đề cập ở trên, tên đầy đủ kèm hậu tố DNS là bắt buộc đối với máy chủ Hyper-V để kích hoạt sao chép bằng chứng chỉ. Hậu tố trong ví dụ của chúng tôi là test.net . Nếu tên máy chủ là hyper-v-prim , tên miền đầy đủ (FQDN) sẽ là Hyper-v-prim.test.net cho máy chủ chính của chúng ta.
Trong hình ảnh minh họa bên dưới, bạn có thể thấy cấu hình tên máy tính cho máy chủ chính.
Sau khi đã cấu hình tên máy chủ trên cả hai máy chủ, bạn có thể bắt đầu tạo chứng chỉ trên các máy chủ.
Tạo chứng chỉ trên máy chủ chính
Chứng chỉ có thể được tạo bằng nhiều phương pháp khác nhau. Giao diện dòng lệnh thường được sử dụng cho mục đích này. Tùy chọn đầu tiên là sử dụng công cụ MakeCert để tạo chứng chỉ tự ký. Hiện tại, công cụ MakeCert đã bị loại bỏ, và chúng ta sẽ sử dụng một giải pháp khác.
Sử dụng cmdlet New-SelfSignedCertificate như một giải pháp hiện đại thay thế cho công cụ MakeCert để tạo chứng chỉ tự ký.
Trên máy chủ chính ( Hyper-v-prim.test.net ), chạy các lệnh sau trong PowerShell (với tư cách Quản trị viên) để tạo chứng chỉ:
New-SelfSignedCertificate -DnsName "Hyper-v-prim.test.net" -CertStoreLocation "cert:LocalMachineMy" -TestRoot
New-SelfSignedCertificate -DnsName "Hyper-v-repl.test.net" -CertStoreLocation "cert:LocalMachineMy" -TestRoot
Sau đó kiểm tra các chứng chỉ đã tạo và tiếp tục cấu hình máy chủ. Ba chứng chỉ phải được tạo sau khi chạy các lệnh này (hai chứng chỉ máy chủ và một chứng chỉ gốc).
Kiểm tra các chứng chỉ đã tạo trong MMC
Mở MMC (Microsoft Management Console) trên máy chủ đầu tiên. Để mở MMC, hãy nhập mmc trong PowerShell).
Thêm một snap-in mới trong MMC để quản lý chứng chỉ trong giao diện người dùng đồ họa (GUI) của Windows.
Nhấp vào File > Add/Remove Snap-in…
Trong khung bên trái (Available snap-ins) của cửa sổ vừa mở, chọn Certificates, và nhấp vào Add.
Trong cửa sổ bật lên, chọn Computer account, và nhấp vào Next.
Để Local computer được chọn (nó được chọn mặc định), và nhấp vào Finish. 
Chứng chỉ (Máy tính cục bộ) hiện sẽ được hiển thị ở khung bên phải (Các snap-in đã chọn) của cửa sổ.
Trong cửa sổ Thêm hoặc Xóa Snap-in , nhấp vào OK (một snap-in đã được chọn sẵn).
Bạn có thể lưu snap-in đã thêm vào MMC.
Nhấp vào File > Save as.
Nhập tên tệp, ví dụ: Certificates1.msc .
Truy cập Certificates (Local Computer) / Personal / Certificates. Bạn sẽ thấy hai chứng chỉ mà chúng ta đã tạo trong PowerShell trước đó – Hyper-v-prim.test.net và Hyper-v-repl.test.net .
Nhấp đúp vào một chứng chỉ để xem chi tiết. Chứng chỉ cho máy chủ thứ hai ( Hyper-v-repl.test.net ) hiện không được tin cậy.
Truy cập Certificates (Local Computer) / Intermediate Certification Authorities / Certificates. Tìm chứng chỉ CertReq Test Root cần thiết cho hoạt động bình thường. Nhấp đúp vào chứng chỉ này để xem chi tiết. Chứng chỉ gốc CA không được tin cậy.
Sao chép chứng chỉ CertReq Test Root từ Intermediate Certification Authorities / Certificates sang Trusted Root Certification Authorities/Certificates để chứng chỉ được tin cậy. Chọn chứng chỉ, nhấn Ctrl+C để sao chép và Ctrl+V để dán.
Chứng chỉ CertReq Test Root phải nằm trong Trusted Root Certification Authorities / Certificates (như hiển thị trên ảnh chụp màn hình bên dưới).
Kiểm tra lại các chứng chỉ nằm trong Personal/Certificates . Đầu tiên, chúng ta kiểm tra chứng chỉ cho máy chủ bản sao ( Hyper-v-repl.test.net ). Chứng chỉ hiện đã được tin cậy và có ngày hết hạn mà bạn có thể xem trong tab General . Bây giờ bạn cũng biết cách kiểm tra ngày hết hạn chứng chỉ SSL trong Windows.
Kiểm tra các thông số khác của chứng chỉ trong tab Details (Enhanced Key Usage) và tab Certification Path . Chứng chỉ này ổn.
Sau đó, kiểm tra chứng chỉ cho máy chủ chính giống như cách bạn đã kiểm tra chứng chỉ cho máy chủ bản sao.
Chúng tôi đã cấu hình chứng chỉ cho máy chủ chính ( Hyper-v-prim.test.net ), và bây giờ chúng tôi cần cấu hình chứng chỉ trên máy chủ thứ hai. Chúng tôi cần sao chép các chứng chỉ cần thiết sang máy chủ thứ hai ( Hyper-v-repl.test.net ) nơi các bản sao sẽ được lưu trữ. Để thực hiện việc này, hãy xuất các chứng chỉ.
Xuất chứng chỉ từ máy chủ đầu tiên
Trên máy chủ đầu tiên, chọn chứng chỉ cần thiết cho máy chủ thứ hai ( Hyper-v-repl.test.net ) nằm trong thư mục Personal/Certificates. Nhấp chuột phải vào chứng chỉ và trong menu ngữ cảnh, nhấp vào All Tasks > Export.
Trình hướng dẫn xuất chứng chỉ sẽ mở ra.
1. Welcome. Không có gì cần cấu hình trên màn hình chào mừng. Nhấp vào Next ở mỗi bước để tiếp tục.
2. Export Private Key. Chọn Yes, export the private key.
3. Export File Format. Chọn Personal Information Exchange – PKCS #12 (.PFX), và chọn Include all certificates in the certification path if possible.
4. Security. Nhập mật khẩu để đảm bảo an ninh và bảo vệ khóa riêng.
5. File to Export. Chỉ định tên và vị trí của tệp bạn muốn xuất, ví dụ: C:tempHyper-v-repl.pfx
6. Completing the Certificate Export Wizard. Kiểm tra cấu hình và nhấp vào Finish.
Bạn sẽ thấy thông báo: Việc xuất đã thành công . Điều này có nghĩa là mọi thứ đều ổn.
Xuất chứng chỉ gốc từ máy chủ đầu tiên
Hai chứng chỉ đã được xuất. Bây giờ bạn nên xuất chứng chỉ gốc theo cách tương tự. Các thao tác được thực hiện trên máy chủ đầu tiên ( Hyper-v-prim.test.net ).
Chọn chứng chỉ CertReq Test Root nằm trong thư mục Trusted Root Certification Authorities / Certificates.
Nhấp chuột phải vào chứng chỉ; chọn All Tasks > Export.
Trình hướng dẫn xuất chứng chỉ sẽ mở ra.
1. Welcome. Nhấp vào Next để tiếp tục.
2. Export File Format. Chọn định dạng bạn muốn sử dụng:
DER encoded binary X.509 (.CER)
3. File to Export. Nhập tên tệp và đường dẫn để lưu tệp, ví dụ: C:temptestRoot.cer
4. Completing the Certificate Export Wizard. Kiểm tra cấu hình và hoàn tất việc xuất.
Các chứng chỉ được xuất sang các tệp Hyper-v-repl.pfx và TestRoot.cer , hiện đang nằm trong thư mục C:temp trên máy chủ đầu tiên.
Sao chép các chứng chỉ đã xuất sang máy chủ thứ hai
Sao chép hai tệp chứng chỉ đã xuất (Hyper-v-repl.pfx và TestRoot.cer) từ máy chủ đầu tiên sang máy chủ thứ hai.
Chúng ta sao chép các tệp vào thư mục C:temp trên máy chủ thứ hai.
Chúng ta có thể sử dụng đường dẫn mạng Hyper-v-replC$ hoặc 192.168.101.213C$ để sao chép chứng chỉ qua mạng (trong trường hợp này, 192.168.101.213 là địa chỉ IP của máy chủ bản sao). Cấu hình tường lửa phải cho phép kết nối cho giao thức SMB.
Nhập chứng chỉ vào máy chủ thứ hai
Sau khi đã sao chép chứng chỉ vào máy chủ bản sao, bạn nên nhập các chứng chỉ này vào máy chủ bản sao.
Mở MMC trên máy chủ sao chép (máy chủ thứ hai) giống như cách bạn đã làm trên máy chủ chính.
Thêm một snap-in vào cửa sổ MMC.
Nhấp vào File > Add/Remove Snap In.
Chọn Certificates, click Add.
Chọn Computer account, và chọn Local Computer.
Nhấp vào OK.
Để mở snap-in này trong giao diện đồ họa Windows (GUI) một cách nhanh chóng, bạn có thể sử dụng lệnh trong Windows CMD hoặc PowerShell:
certlm.msc
Lệnh này mở Trình quản lý chứng chỉ Windows (bảng điều khiển quản lý chứng chỉ) để cấu hình chứng chỉ máy tính cục bộ.
Truy cập Certificates (Local Computer) / Personal.
Nhấp chuột phải vào vùng trống và trong menu ngữ cảnh, nhấp vào All tasks > Import.
Trình hướng dẫn nhập chứng chỉ sẽ mở ra.
1. Welcome. Chọn Local machine.
2. File to Import. Duyệt đến tệp Hyper-v-repl.pfx . Nhấp vào Browse, chọn hiển thị tất cả tệp và chọn Hyper-v-repl.pfx
3. Private key protection. Nhập mật khẩu mà bạn đã đặt khi xuất chứng chỉ.
4. Certificate Store. Đặt tất cả các chứng chỉ vào kho lưu trữ sau:
Kho lưu trữ chứng chỉ: Personal
5. Completing the Certificate Import Wizard. Kiểm tra cấu hình và nhấp vào Finish.
Nếu mọi thứ đều chính xác, bạn sẽ thấy thông báo: Quá trình nhập đã thành công .
Hiện tại, chứng chỉ Hyper-v-repl.test.net đã được đặt tại Certificates (Local Computer) / Personal / Certificates trên máy chủ bản sao (máy chủ thứ hai). Trong trường hợp của chúng tôi, chứng chỉ CertReq Test Root cũng đã được nhập vào vị trí này.
Chứng chỉ CertReq Test Root phải được đặt tại Trusted Root Certification Authorities / Certificates. Sao chép chứng chỉ này vào vị trí cần thiết. Bạn có thể nhập TestRoot.cer theo cách thủ công giống như khi nhập Hyper-v-repl.pfx
Kiểm tra thu hồi chứng chỉ
Lưu ý rằng kiểm tra thu hồi chứng chỉ là bắt buộc theo mặc định, và các chứng chỉ tự ký không hỗ trợ kiểm tra thu hồi trên Windows Server 2012. Vì lý do này, bạn phải vô hiệu hóa kiểm tra thu hồi chứng chỉ cho các chứng chỉ thử nghiệm. Thêm cài đặt vào Sổ đăng ký Windows trên cả hai máy. Chạy lệnh sau trong CMD hoặc PowerShell với quyền quản trị viên.
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualizationReplication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
Bạn có thể cần khởi động lại máy.
Giải quyết tên máy chủ
Thêm các mục vào tệp hosts (C:Windowssystem32driversetchosts) trên cả hai máy để cho phép giải quyết tên máy chủ thành địa chỉ IP khi làm việc trong Workgroup (khi các máy không phải là thành viên của miền Active Directory). Trong trường hợp của chúng tôi, chúng tôi thêm các dòng sau vào tệp hosts trên cả hai máy chủ:
192.168.101.209 Hyper-v-prim.test.net
192.168.101.213 Hyper-v-repl.test.net
Cấu hình cài đặt sao chép trên máy chủ sao chép
Thực hiện các thao tác sau trên máy chủ thứ hai nơi các bản sao VM sẽ được lưu trữ.
Mở Hyper-V Manager.
Nhấp chuột phải vào máy chủ sao chép ( Hyper-v-repl.test.net trong trường hợp của chúng tôi), và trong menu ngữ cảnh, chọn Hyper-V Settings.
Trong khung bên trái của cửa sổ Hyper-V Settings , chọn Replication Configuration.
Chọn các ô kiểm này trong Replication Configuration:
Enable this computer as a Replica serverUse certificate-based Authentication (HTTPS)
Nhấp vào Select Certificate.
Cửa sổ bật lên Windows Security hiển thị thông tin về chứng chỉ của bạn. Nhấn OK để chọn chứng chỉ này.
Trong Replication Configuration , chọn tùy chọn Allow replication from the specified serversvà nhấp vào Add.
Cấu hình các tham số trong cửa sổ Add Authorization Entry .
Chỉ định máy chủ chính: Hyper-v-prim.test.net
Chỉ định vị trí mặc định để lưu trữ các tệp bản sao: C:Hyper-VVirtual Hard Disks (đây là một ví dụ – hãy sử dụng vị trí tùy chỉnh của bạn không nằm trên ổ C:)
Chỉ định nhóm tin cậy: replication
Cấu hình Tường lửa Windows
Cấu hình tường lửa để cho phép lưu lượng truy cập vào. Bật kết nối TCP vào trên cổng 443 trên máy chủ bản sao (hoặc tắt tạm thời tường lửa để thử nghiệm).
Enable-Netfirewallrule -displayname "Hyper-V Replica HTTPS Listener (TCP-In) "
netsh advfirewall firewall show rule name=all dir=in | find "Hyper-V "
Cấu hình Sao chép trên Máy chủ Đầu tiên
Tạo một máy ảo trên máy chủ Hyper-V chính để sao chép. Đảm bảo rằng máy ảo nguồn không có bất kỳ bản chụp nhanh nào trước khi bạn bật tính năng sao chép. Kích hoạt sao chép trên máy đầu tiên, tức là máy chủ chính ( Hyper-v-prim.test.net trong trường hợp của chúng tôi).
Nhấp chuột phải vào một máy ảo, và trong menu ngữ cảnh, chọn Enable Replication.
Trình hướng dẫn Enable Replication sẽ mở ra.
Before you Begin. Nhấp vào Next để tiếp tục.
Specify Replica Server. Nhập tên máy chủ sao chép của bạn. Trong trường hợp của chúng tôi, chúng tôi sử dụng Hyper-v-repl.test.net làm máy chủ sao chép.
Specify Connection Parameters. Chọn Use certificate-based authentication (HTTPS), và nhấp vào Select Certificate.
Khi bạn nhấp vào Select Certificate, một cửa sổ bật lên sẽ hiển thị chi tiết về chứng chỉ mà bạn đã cấu hình trước đó. Nhấp vào OK để sử dụng chứng chỉ này.
Cấu hình các thiết lập sao chép khác như bình thường để hoàn tất cấu hình sao chép trên máy chủ nguồn.
Choose Replication VHDs. Chọn các đĩa ảo của máy ảo (VM) cần được sao chép. Bạn có thể chọn tất cả các đĩa ảo của máy ảo hoặc chỉ một số trong số chúng.
Configure Replication Frequency. Chọn tần suất gửi các thay đổi đến máy chủ sao chép, ví dụ: 5 minutes.
Configure additional recovery points for this virtual machine. Trong ví dụ này, chúng tôi chọn tạo thêm các điểm khôi phục hàng giờ. Chọn các tùy chọn phù hợp nhất với nhu cầu của bạn. Các điểm khôi phục là kết quả của quá trình sao chép gia tăng (dựa trên bản chụp nhanh).
Choose Initial Replication Method. Chọn Send initial copy over the network.
Nhấp vào Finish để hoàn tất cấu hình sao chép Hyper-V gốc bằng cách sử dụng chứng chỉ trong nhóm làm việc, sau đó đóng Trình hướng dẫn.
Các giải pháp thay thế cho sao chép Hyper-V gốc
Chức năng sao chép tích hợp sẵn của Hyper-V rất hữu ích. Tuy nhiên, đôi khi bạn có thể cần các tính năng mở rộng để thực hiện sao chép Hyper-V và chuyển đổi dự phòng máy ảo. Có một giải pháp thay thế tốt cho sao chép Hyper-V gốc.
NAKIVO Backup & Replication là giải pháp bảo vệ dữ liệu toàn diện có thể sao lưu máy ảo Hyper-V và thực hiện chuyển đổi dự phòng máy ảo. Sản phẩm hỗ trợ sao chép Hyper-V trong miền Active Directory và Workgroup. Các tính năng sau được bao gồm:
- Sao chép nhận biết ứng dụng. Dữ liệu trong bản sao máy ảo (VM-replica) sẽ nhất quán khi bạn sao chép một máy ảo đang chạy nhờ sử dụng dịch vụ Microsoft Volume Shadow Copy (VSS) chạy bên trong các máy ảo.
- Sao chép gia tăng bằng công nghệ Resilient Change Tracking (RCT) của Microsoft giúp bạn tiết kiệm dung lượng đĩa và thời gian. Lần chạy đầu tiên của tác vụ sao chép sẽ sao chép toàn bộ dữ liệu của máy ảo nguồn, và sau đó chỉ sao chép dữ liệu đã thay đổi bằng cách tạo các điểm khôi phục phù hợp cho bản sao máy ảo.
- Cài đặt lưu trữ linh hoạt và Chính sách lưu trữ của GFS. Giữ lại nhiều điểm khôi phục cho các khoảng thời gian khác nhau và tối ưu hóa không gian lưu trữ được sử dụng trong kho lưu trữ sao lưu.
- Tăng tốc mạng giúp tăng tốc độ sao chép bằng cách nén dữ liệu, giúp bạn tiết kiệm thời gian.
- Cắt bớt nhật ký cho Microsoft Exchange và SQL để tiết kiệm không gian lưu trữ cho các máy ảo Hyper-V chạy cơ sở dữ liệu khi sao chép chúng.
- Chuyển đổi dự phòng tự động cho máy ảo (VM) cho phép bạn khôi phục máy ảo trong thời gian ngắn.
- Khôi phục trang web cho phép bạn tạo các kịch bản khôi phục thảm họa phức tạp với nhiều hành động, bao gồm sao chép và chuyển đổi dự phòng máy ảo Hyper-V.
Bạn có thể khôi phục một máy từ bản sao lưu máy chủ vật lý sang máy ảo, hoặc khôi phục bản sao lưu máy ảo Hyper-V sang máy ảo VMware. Đừng chờ đến khi xảy ra thảm họa – hãy tải xuống NAKIVO Backup & Replication và bảo vệ các máy ảo Hyper-V của bạn ngay hôm nay!
Kết luận
Sao chép Hyper-V đóng vai trò quan trọng trong việc bảo vệ các máy ảo Hyper-V và đảm bảo bạn có thể khôi phục dữ liệu và khối lượng công việc trong thời gian ngắn sau bất kỳ sự cố nào. Đôi khi, bạn có thể cần cấu hình sao chép Hyper-V trong môi trường không thuộc miền (non-domain) khi các máy chủ Hyper-V không phải là thành viên của miền Active Directory và thuộc về một nhóm làm việc (Workgroup).
Bạn cần tạo chứng chỉ tự ký để sao chép các máy ảo Hyper-V trong Workgroup và cấu hình xác thực cho các máy chủ Hyper-V bằng cách sử dụng các chứng chỉ này. Cấu hình áp dụng cho tên máy chủ, tường lửa và kiểm tra thu hồi chứng chỉ trước khi cấu hình sao chép máy ảo trên các máy chủ Hyper-V.
