Wie kann ich ein selbstsigniertes Zertifikat im Windows Admin Center ersetzen?
- Einleitung
- Vorbereitung des neuen Zertifikats
- Zertifikat im Zertifikatsspeicher importieren
- Windows Admin Center Dienst stoppen
- Zertifikat für das Windows Admin Center konfigurieren
- Zertifikat in der Konfigurationsdatei anpassen
- Windows Admin Center Dienst starten und prüfen
- Zusätzliche Hinweise
- Fazit
Einleitung
Das Windows Admin Center verwendet standardmäßig ein selbstsigniertes Zertifikat, um die Kommunikation über HTTPS abzusichern. Dieses Zertifikat ist jedoch nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt und führt häufig zu Warnungen in Browsern. Aus Sicherheitsgründen und um Vertrauen bei Benutzern zu gewährleisten, ist es oft sinnvoll, das selbstsignierte Zertifikat durch ein gültiges, vertrauenswürdiges Zertifikat zu ersetzen.
Vorbereitung des neuen Zertifikats
Bevor das Zertifikat im Windows Admin Center ersetzt werden kann, benötigen Sie ein gültiges Zertifikat. Dieses kann entweder von einer internen Zertifizierungsstelle oder von einer öffentlichen CA bezogen werden. Das Zertifikat sollte die folgenden Voraussetzungen erfüllen: Es muss für den Hostnamen des Servers ausgestellt sein, unter dem das Windows Admin Center betrieben wird, und in einem Format vorliegen, das den privaten Schlüssel enthält, üblicherweise eine PFX-Datei (.pfx oder .p12). Achten Sie darauf, dass Sie Zugriff auf das Passwort des Zertifikats haben.
Zertifikat im Zertifikatsspeicher importieren
Zunächst muss das Zertifikat in den Windows-Zertifikatsspeicher importiert werden, damit das Windows Admin Center darauf zugreifen kann. Öffnen Sie hierfür die MMC (Microsoft Management Console) und fügen Sie das Snap-In für Zertifikate hinzu. Wählen Sie dabei den Zertifikatsspeicher Lokaler Computer aus. Navigieren Sie dann zum Ordner Persönlich und importieren Sie die PFX-Datei mittels Rechtsklick und Alle Aufgaben → Importieren. Folgen Sie dem Import-Assistenten, geben Sie das Passwort ein und stellen Sie sicher, dass das Zertifikat mit privatem Schlüssel verfügbar ist.
Windows Admin Center Dienst stoppen
Bevor Sie das Zertifikat ersetzen, müssen Sie den Windows Admin Center-Dienst anhalten. Öffnen Sie dazu eine PowerShell-Konsole mit administrativen Rechten und führen Sie folgenden Befehl aus:
Stop-Service servermanagementgateway
Alternativ können Sie den Dienst auch über die Diensteverwaltung (services.msc) anhalten. Der Dienst muss gestoppt sein, damit das Zertifikat sicher ausgetauscht werden kann.
Zertifikat für das Windows Admin Center konfigurieren
Um das neue Zertifikat zu konfigurieren, benötigen Sie dessen Thumbprint (Fingerabdruck). Öffnen Sie eine PowerShell-Sitzung und führen Sie folgenden Befehl aus, um alle Zertifikate im Speicher persönlich aufzulisten:
Get-ChildItem -Path Cert:\LocalMachine\My
Finden Sie das gewünschte Zertifikat anhand von Name, Aussteller oder Ablaufdatum und notieren Sie sich den Thumbprint. Entfernen Sie hier beim Thumbprint alle Leerzeichen.
Der Zugriff auf die Windows Admin Center Konfiguration erfolgt normalerweise über die Konfigurationsdatei oder via PowerShell-Kommando. Öffnen Sie eine administrative PowerShell und geben Sie folgenden Befehl ein, um das Zertifikat mit dem neuen Thumbprint zu registrieren:
Import-Module ServerManagementGateway Set-ServerManagementGatewaySslCertificate -Thumbprint "Ihr_Thumbprint"
Falls das oben genannte Modul nicht geladen werden kann, liegt es daran, dass neuere Windows Admin Center-Versionen den Befehl nicht mehr unterstützen oder die Konfiguration direkt über den Dienststeuerungstools erfolgt.
Zertifikat in der Konfigurationsdatei anpassen
Alternativ kann das Zertifikat auch direkt in der Datei GatewaySettings.json angepasst werden. Diese befindet sich in der Regel unter C:\ProgramData\Microsoft\Windows Admin Center\. Öffnen Sie die Datei mit einem Editor mit Administratorrechten und suchen Sie den Eintrag "SslCertificateThumbprint". Ersetzen Sie den vorhandenen Wert durch den neuen Thumbprint des Zertifikats. Speichern Sie die Datei anschließend.
Windows Admin Center Dienst starten und prüfen
Starten Sie danach den Windows Admin Center-Dienst wieder mit folgendem PowerShell-Befehl:
Start-Service servermanagementgateway
Nach dem Neustart prüfen Sie, ob das neue Zertifikat von der Weboberfläche verwendet wird, indem Sie die URL des Windows Admin Centers in einem Browser mit HTTPS aufrufen. Die Verbindung sollte jetzt ohne Zertifikatswarnungen funktionieren, sofern das Zertifikat als vertrauenswürdig anerkannt wird.
Zusätzliche Hinweise
Wenn Sie von außen auf das Windows Admin Center zugreifen, stellen Sie sicher, dass das Zertifikat auch im Browser oder auf dem Client als vertrauenswürdig gilt. Bei selbstgenerierten Zertifikaten muss dies manuell erfolgen, bei von öffentlichen CAs ausgestellten Zertifikaten ist dies normalerweise automatisch der Fall.
Beachten Sie außerdem, dass bei einem Austausch des Zertifikats bestehende Remote-Verwaltungssitzungen unterbrochen werden können, da der Dienst neu gestartet wird.
Fazit
Das Ersetzen eines selbstsignierten Zertifikats im Windows Admin Center ist ein sinnvoller Schritt, um die Sicherheit zu erhöhen und vertrauenswürdige Verbindungen zu gewährleisten. Der Vorgang umfasst den Import des neuen Zertifikats in den lokalen Speicher, das Stoppen des Windows Admin Center-Dienstes, die Konfiguration des neuen Zertifikats über PowerShell oder die Konfigurationsdatei sowie das anschließende Neustarten des Dienstes. Mit diesem Vorgehen können Zertifikatswarnungen vermieden und eine sichere Verbindung bereitgestellt werden.