Windows Admin Center – Modifica del certificato digitale e utilizzo di una Certification Authority interna

Circa un anno fa in ICTPower è comparso il primo articolo sulla nuova console di gestione centralizzata di Windows Server chiamata Windows Admin Center (WAC). Gli articoli ripropongono approfondimenti sulle versioni, sugli scenari di utilizzo e sui metodi di implementazione.

In questo approfondimento vogliamo analizzare la gestione del certificato di accesso al Portale, che utilizza di default un certificato di tipo Self-Signed. Lo scenario che riproponiamo di seguito si basa, in un ambiente Enterprise, sulla diponibilità di una CA integrata in AD e configurata secondo le guide proposte anch’esse su ICTPower

Di norma l’installazione di WAC consente la scelta di un certificato già presente nello store macchina.

Se questo certificato non fosse già disponibile, è possibile indicare all’installer di generarne uno di tipo Self-Signed che avrà una scadenza di 60 giorni. Per la peculiarità di una connessione di questo tipo ai vari utenti verrà proposto un warning relativo alla connessione non sicura

Il certificato generato dall’installer è visualizzabile con il comando certlm.msc eseguito sul server dove avete installato la console di gestione di Windows Admin Center.

Figura 1 certificato Self- Signed creato durante l’installazione di Windows Admin Center

Questa guida propone i passi necessari alla modifica di una installazione già funzionante in cui è necessario sostituire il certificato auto firmato con uno “ufficiale” rilasciato dalla CA interna

I passi da eseguire sono:

  • Creazione di un template ad hoc, se non già presente; il template che si utilizza è quello disponibile nella CA come “Web Server”
  • Richiesta del certificato secondo il template creato, la richiesta deve essere effettuata come Account Macchina
  • Riconfigurazione del WAC affinché usi il certificato ottenuto dalla CA interna

Creazione del Template sulla CA

Accedendo alla console di gestione della Issuing CA è necessario individuare il ramo Certificate Template e successivamente Manage

Figura 2 gestione template del certificato

Dall’elenco è necessario individuare il template Web Server

Figura 3 selezione del template certificato da duplicare

Con il tasto DX selezionare Duplicate Template e proseguire con le impostazioni
modificando alcuni Tab

Figura 4 definizione del nome e della validità del nuovo template certificato

Nel tab General bisogna impostare il nome del nuovo Template ed eventualmente la validità

Figura 5 impostazione della sicurezza per l’utilizzo del nuovo template certificato

Nel tab Security è necessario definire i permessi di Enroll al fine di permettere al server di Windows Admin Center di poter richiedere ed ottenere il certificato. Nell’esempio sopra la security è più “ampia” del necessario, permettendo a tutti gli utenti autenticati di usare questo template; in caso fosse necessario, potrebbero essere definiti permessi più stretti, ad esempio soltanto per l’account macchina relativo al server WAC

Terminata la configurazione del template, dalla gestione della CA, è necessario abilitarne il rilascio.

È sufficiente selezionare Certificate Template/New/ Certificate Template to Issue e dall’elenco abilitare il template duplicato in precedenza.

Figura 6 distribuzione del template duplicato

Figura 7 abilitazione del template duplicato

A questo punto la configurazione della CA è terminata ed è necessario operare sullo store di certificati macchina del WAC Server in modo da ottenere un certificato secondo il Template creato

Generazione della richiesta ed Enroll del certificato

Con il comando certlm.msc è possibile accedere direttamente allo store Certificati Macchina del Windows Admin Center e dal ramo Personal/Certificate operare come segue

Figura 8 Richiesta del certificato da utilizzare in Windows Admin Center

Con il tasto DX selezionare All Tasks e Request
New Certificate e proseguire per i passi successivi con le impostazioni predefinite

Figura 9 Wizard per la richiesta di un nuovo certificato

Figura 10 utilizzo delle Policy dichiarate in AD

Selezionando Active Directory Enrollment Policy viene visualizzato l’elenco completo dei template abilitati, e tra questi è presente anche quello creato in precedenza per WAC

Figura 11 selezione del template certificato da utilizzare per WAC

Selezionato quest’ultimo e cliccando sulla richiesta di ulteriori informazioni necessarie per l’Enroll, si deve fornire l’informazione relativa all’FQDN del server WAC

Figura 12 impostazione del nome da inserire nel certificato

Per completare questo passo è necessario modificare Subject Name ed Alternative Name in modo coerente con l’ambiente di installazione del WAC e successivamente premere Add per entrambe i campi, proseguendo con OK la richiesta può essere successivamente completata con Enroll

Figura 13 completamento dell’enrollment del certificato

Figura 14 rilascio del certificato

A questo punto nello Store Macchina del server è presente il certificato richiesto

Figura 15 visualizzazione del certificato rilasciato

Anche la parte di configurazione/richiesta del certificato dal lato del server WAC è completata, a questo punto della procedura è necessario fare si che l’applicazione utilizzi il nuovo certificato disponibile

Per Prima cosa è necessario individuare il Thumbprint del Certificato, e questo valore può essere rilevato con il comando certutil -store my oppure direttamente in modalità grafica con l’utility certlm.msc

Figura 16 Thumbprint del certificato creato per WAC

Figura 17 Thumbprint tramite certutil -store my

Tra le due possibilità, se si vuole copiare tramite “copia incolla” il valore del Thumbrint è preferibile la seconda in quanto se si utilizza la GUI vengono copiati alcuni caratteri nascosti che all’atto della validazione dell’Hash, da parte dell’installer, fanno sì che la procedura non si concluda correttamente generando il seguente errore

Figura 18 errore in fase di “lettura” del thumbrint copiato dalla GUI

Riconfigurazione dell’Installazione di Windows Admin Center per l’utilizzo del nuovo certificato

Ottenuta l’informazione sul certificato da utilizzare è sufficiente accedere al pannello di controllo nella sezione programmi e funzionalità e modificare WAC

Figura 19 modifica dell’installazione di WAC

Verrà avviato l’installer che presenterà le opzioni possibili

Figura 20 scelta delle opzioni di modifica

Selezionando Cambia e fornendo il valore del thumbprint rilevato in precedenza l’accesso al portale WAC avverrà tramite una connessione SSL cifrata con il certificato scelto

Figura 21 dichiarazione del certificato da utilizzare in sostituzione di quello self-signed

A questo punto il browser non presenta più il classico Warning relativo all’utilizzo di un certificato non valido, ed è possibile verificare che la connessione SSL avviene per mezzo del certificato impostato prima

Figura 22 accesso al portale e verifica dell’utilizzo del certificato rilasciato dalla Ca interna

La procedura vista qui è da utilizzare per una installazione di Windows Admin Center già operativa e funzionante, ma con un certificato self-signed generato in fase di installazione, tuttavia disponendo già da subito di un certificato da utilizzare per WAC sarebbe sufficiente impostarne il valore, da rilevare nelle modalità descritte sopra o con metodi alternativi, e variare le opzioni di default come evidenziato in figura 21 durante la fase di prima installazione.

La procedura riportata in questa guida è stata seguita ed implementata per una installazione in produzione con CA versione 2012R2, Windows Admin Center versione 1904 installato su Windows Server 2016. Come è rilevabile dalla documentazione relativa a WAC sono possibili altri scenari di installazione, ma la parte che è oggetto di questa guida rimane pressoché invariata.

Riferimenti

Windows Admin Center – Documentazione Ufficiale

ICTPower – Documentazione su Windows Admin Center

ICTPower – Documentazione sulla implementazione di CA di tipo Enterprise