创建新的(自签名？)SCVMM证书

Question

我有一个服务器2012R2机器，托管系统中心。在SCVMM安装期间，它自己创建了一个用于SCVMM连接的自签名证书.不幸的是，它使用SHA-1哈希创建了一个漏洞扫描器，需要修复。

我知道有一种方法可以使用MMC的证书管理器控制台来生成证书请求，但是我这样做只是为了将请求提交给一个更高的组织来生成和分发证书。虽然我确信我可以找到一种手动创建完全自签名证书的方法，但我确实有一些更具体的SCVMM问题。

1. SCVMM真的需要一个自签名的证书吗？该机器有一个客户机/服务器身份验证证书，这是一个更高级别的组织所要求的，已经安装(并且它是SHA-256)。我可以用这个代替吗，或者“友好名称”必须包括"SCVMM_CERTIFICATE_KEY_CONTAINER(serverFQDN)“吗？
2. 一旦SHA-1证书被替换(使用新的SHA-256自签名或现有的SHA-256证书)，SCVMM是否需要以某种方式进行配置？我通常不直接管理这个应用程序，但似乎无法找到控制台，您可以在其中指定它应该使用的证书，我也没有。

Answer 1

SCVMM真的需要一个自签名的证书吗？

不，它不是。实际上，在SCVMM scneario中使用自签名证书不是一个好做法。这只是一开始的事情。对于SCVMM，不太可能重用现有的客户机/服务器身份验证证书，因为它需要在以下内容中进行特殊的扩展：

1.3.6.1.4.1.311.62.1.1.1 = AgEE
Key Usage = Key Encipherment, Data Encipherment (30)

我不知道它的语法的具体细节，只是知道它是必需的。普通的TLS证书没有它。因此，您可能需要生成具有正确字段的CSR，并要求父组织对其进行签名。

但是，似乎找不到一个控制台，你可以决定它应该使用什么证书，而我也没有。

我不知道GUI控制台(从未使用过)，但我知道您可以在注册表中指定SCVMM证书：

Key = HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization
Value1 = DisableSelfSignedCertificateGeneration
Type1 = REG_QWORD
Data1 = 1

Value2 = AuthCertificateHash
Type2 = REG_SZ
Data2 = [CertThumbprint]

创建/更新两个值：

• DisableSelfSignedCertificateGeneration --禁用自签名证书生成。
• AuthCertificateHash --您可以指定普通证书的拇指打印值(所有大写，没有空格，例如1234ABCDEF<...>)。

此外，还需要将VMM服务帐户的权限授予私钥：

icacls "%ALLUSERSPROFILE%\Microsoft\Crypto\RSA\MachineKeys\{KeyContainer}" /grant "*S-1-5-83-0:(R)"

首先，使用父组织完成证书注册过程，并将证书安装到Local \Personal文件夹中。那就跑

certutil -store my "Cert Serial Number"

并指定证书的序列号。该命令将返回一些有关证书的信息，如果安装正确，将有Key Container行。

<...>
Cert Hash(sha1): 21 1b 8d 5f d2 fa 68 a4 cd 27 56 2f c2 b0 b6 1e 7f 54 b2 7e
  Key Container = 7e715043f56d6d367794d85b6f0fc494_9e3784ff-fd0b-4d70-a002-a1e4fc2f0cc8

用实际的键容器值替换icacls命令中的D20占位符。

参考资料：https://docs.microsoft.com/en-us/archive/blogs/hugofe/configuring-a-certificate-for-virtual-machine-connection-in-hyper-v-or-thru-scvmm