Windows Admin Center SSL-Zertifikat erneuern


Wenn man das Windows-Admin-Center auf einem Windows-Server Rechner installiert, wird ein spezieller Gateway-Dienst installiert. Für diesen Dienst kann automatisch ein SSL-Zertifikat erstellt werden. Dies läuft allerdings nur 60-Tage. Danach muss es erneuert werden. Eine Möglichkeit dabei ist, einfach bei den installierten Programmen das Windows-Admin-Center De-Installationsprogramm aufzurufen und dann den Punkt Ändern auswählen. Nun bekommt man nochmal die Möglichkeit ein neues Zertifikat zu erstellen. Diese Methode klappt allerdings nur, wenn man zuvor das alte Zertifikat entfernt hat.

Gehen wir vom Port 8081 für das Windows-Admin-Center aus. Dann kann man mittels Admin-Commandline folgendes abrufen:

PS > netsh http show sslcert

SSL-Zertifikatbindungen:
————————-

    IP:Port                      : 0.0.0.0:8081
    Zertifikathash              : 5104877e8eae1698fea7f3445b5eb0d728e02b95
    Anwendungs-ID               : {3fbbd223-54fa-4cb6-9c95-47eebdf667f8}
    Zertifikatspeichername       : (null)
    Clientzertifikatsperre überprüfen : Enabled
    Zur Sperrüberprüfung ausschließlich zwischengespeichertes Clientzertifikat verwenden : Disabled
    Verwendungsüberprüfung                  : Enabled
    Sperraktualisierungszeit    : 0
    Zeitlimit für URL-Abruf        : 0
    Steuerelement-ID               : (null)
    Steuerelement-Speichername               : (null)
    DS-Zuordnungsverwendung              : Disabled
    Clientzertifikat aushandeln : Disabled
    Verbindungen ablehnen           : Disabled
    HTTP2 deaktivieren                : Not Set

Um das Zertifikat zu entfernen ruft man

PS C:\Users\Administrator> netsh http delete sslcert ipport=0.0.0.0:8081

Das SSL-Zertifikat wurde erfolgreich gelöscht.

auf. Nun kann man wie oben beschrieben das neue Zertifikat erstellen lassen.

Um zu prüfen, ob das neue Zertifikat wirklich das aktuelle ist, kann man z. B. so weitere Daten zum Zertifikat ermitteln, dazu wird der Zertifikatshash benötigt – der in unserem Beispiel 5104877e8eae1698fea7f3445b5eb0d728e02b95 lautet – und mittels Powershell so ausgelesen werden kann:

PS > $cert=dir cert:\ -Recurse | where thumbprint -match 5104877e8eae1698fea7f3445b5eb0d728e02b95
PS > $cert[0]|fl *

Dabei werden mehrere Zertifikate, welche aber alle das gleiche darstellen zurückgegeben, deshalb werden nur die Daten des ersten Zertifikats zurückgegeben.

Eigentlich sollte es auch möglich sein alles per Commandline zu steuern, aber meine bisherigen Versuche waren nicht von Erfolg gekrönt. Zu diesem Thema ein wichtiger Link: https://www.der-windows-papst.de/2018/06/25/windows-admin-center-honolulu-installieren/. Auch sollte dabei das Windows-Admin-Center Gateway wahrscheinlich neu gestartet werden: Restart-Service ServerManagementGateway. Half trotzdem bisher noch nichts.

Werbeanzeigen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s


%d Bloggern gefällt das: