Nu we de installatie en configuratie van Active Directory Certificate Services hebben voltooid moeten we nog wat voorbereidingen doen om te zorgen dat VMware Cloud Foundation ook echt aanvragen kan doen richting ADCS. Hiervoor wordt namelijk een template gebruik die wordt aangeroepen door de Web Enrollment service.
Voorwaarden
- Je hebt een werkende Active Directory
- Deel 1 is van deze reeks is uitgevoerd, AD CS en IIS zijn dus geïnstalleerd.
- Maak een Active Directory service account aan. Bijvoorbeeld ‘
svc-vcf-ca‘.
Aanmaken en configureren van Active Directory Certificate Services Template
- Open de Certification Authority tool. Als je als Domain Admin bent ingelogd (met een domain account) kan je het direct starten.
Ben je dat niet, dan moet je apart aan Domain Admin aangeven. Ga hiervoor naar Start, zoek op Certification Authority, rechtmuisknop en kies voor ‘Run as different user‘. Geef het domein\gebruikersnaam op en voer het wachtwoord in. - Rechtsklik op je servernaam en kies ‘Properties‘.
- In het nieuw scherm ga je naar het tabblad ‘Security‘, klik op ‘Add‘
- Type de naam je van je serviceaccount en klik op ‘Check Names‘, als het account is gevonden klik je op ‘OK‘.
- Vink nu voor dit account de nodige rechten aan; ‘Issue and Manage Certificates‘ en ‘Request Certificates‘ (De laatste stond bij mij standaard aan). Sla op met ‘OK’.
- Klik de structuur onder je servernaam open en klik op de map Certificate Templates. Deze zal in het begin leeg zijn, geef het een seconde of 5, dan zal er een lijst met templates verschijnen.
- Rechtsklik in de linkerbalk op ‘Certificate Templates‘ en klik op ‘Manage‘.
Als dit niet lukt door een foutmelding dan ben je niet met het juiste account ingelogd. Zie stap 1.
- Rechtsklik op ‘Web Server‘ en klik op ‘Duplicate Template‘
- Op de Compatibility tab pas je de Compatibility Settings aan.
Zet de ‘Certification Authority‘ opWindows Server 2008 R2en en de ‘Certificate Recipient‘ opWindows 7 / Server 2008 R2.
Dit is op basis van de VCF 9 Documentatie en kan schijnbaar niet hoger ingesteld worden (hopelijk blijft de link ook nog even werken)
- Op de General tab. Geef een naam op. Bijvoorbeeld ‘VCF Template‘
- Ga naar het tabblad Extensions.
- Klik op ‘Application Policies‘ en kies ‘Edit‘. Klik ‘Server Authentication‘ aan en kies ‘Remove‘. Sluit het scherm met ‘OK‘.
- Klik op ‘Basic Constraints‘, ‘Edit‘, en vink ‘Enable this extension‘ aan. Sluit het scherm met ‘OK‘.
- Klik op ‘Key Usage‘, ‘Edit‘ en vink ‘Signature is proof op origin (nonrepudiation)‘ aan. Sluit het scherm met ‘OK‘.
- Ga naar het tabblad ‘Subject Name‘ en controleer of hier ‘Supply in the request‘ gekozen is.
- Ga naar het tabblad ‘Security‘, klik op ‘Add‘
- Type de naam je van je serviceaccount en klik op ‘Check Names‘, als het account is gevonden klik je op ‘OK‘.
- Zorg dat de rechten ‘Read‘ (standaard) en ‘Enroll‘ zin aangevinkt.
- Sla de template op door op ‘OK‘ te klikken. Je ziet nu je template in de lijst, in mijn geval helemaal onderaan ‘VCF Template’.
- Sluit het ‘Certificate Templates Console‘ Scherm.
- In het ‘Certificate Authority‘ scherm, klik je rechts op ‘Certificate Templates‘, kies je voor ‘New‘ en dan ‘Certificate Template to Issue‘.
- Kies je nieuwe template ‘VCF Template‘ en klik op ‘OK‘.
- Je hebt nu de template voorbereid, je ziet hem nu in de lijst staan (bij mij bovenaan). Je kan alle schermen nu sluiten.
Je hebt nu de template voorbereid en de rechten gezet, de volgende stap is om binnen VCF Operations > Fleet Management de Microsoft CA in te stellen.
Bron (3 maart 2026): Assign Certificate Management Privileges to the VMware Cloud Foundation Service Account