VCF 9 External CA – Deel 3 – Configuratie van Internet Information Services (IIS)
VMware

VCF 9 External CA – Deel 3 – Configuratie van Internet Information Services (IIS)

 , , , , , ,

Active Directory Certificate Services is geïnstalleerd en de template is voorbereid. Om te zorgen dat VMware Cloud Foundation ook echt aanvragen kan doen richting ADCS moeten er nog wat instellingen binnen IIS worden aangepast.

Voorwaarden

  • Je hebt een werkende Active Directory
  • Deel 1 is van deze reeks is uitgevoerd, AD CS is geïnstalleerd.
  • Deel 2 van deze reeks is uitgevoerd, de nieuwe template is gemaakt en je hebt een Admin account die rechten heeft om een certificaat aan te vragen.

Nieuw Web Server certificaat aanvragen

Aangezien er bij installatie van AD CS alleen een certificaat wordt gemaakt met daarin de naam van de CA (bijvoorbeeld adcs-ca) en niet de hostname of FQDN zal VCF Operations dit certificaat niet accepteren als je het binnen IIS gebruikt. Kortom, je moet een correct certificaat genereren.

  1. Login als een Domain Admin user (die je eerder rechten hebt gegeven in deel 2)
  2. Open de certificate manager via Start ‘Manager Computer Certificates’ of door ‘certlm’ te starten.
  3. Ga naar ‘Personal‘, ‘Certificates‘ en klik hier met de rechtermuisknop op. Kies ‘All Tasks‘ en dan ‘Request New Certificate‘.
  4. Er volgt een nieuwe Wizard, op het ‘Before you begin‘ scherm klik je op ‘Next
  5. Op het volgende scherm staat al ‘Active Directory Enrollment Policy‘ geselecteerd, ‘Next‘.
  6. Kies het ‘Web Server‘ als type certificaat.
  7. Klik op de blauwe tekst om de verdere eigenschappen op te geven.
    Kies op het tabblad ‘Subject‘, als Subject TypeCommon Name‘ in de dropdown.
    Geef als value de FQDN van je CA server op (die ook de IIS rol heeft) en klik op Add zodat de naam in het rechterschermpje komt. Klik op ‘OK‘ om het scherm te sluiten. Het maakt niet uit of je hier een CNAME of de AD FQDN gebruikt, maar gebruik overal dezelfde FQDN.
  8. Zorg dat het vinkje bij Web Server is gezet en klik op ‘Enroll’
  9. Het certificaat wordt nu aangevraagd. Als dit is voltooid kan je de certificate manager sluiten.

Internet Information Services configureren voor Web Enrollment met Basic Authentication

Laatste stap van de configuratie is IIS. Om te zorgen dat de Lifecycle Manager hier gebruik van kan maken moet Basic Authentication ingeschakeld worden.

  1. Open de Internet Information Services (IIS) Manager. Dat kan via Start of via de Server Manager.
  2. Klik in de linker balk het menu van je server uit, vervolgens ‘Sites‘, ‘Default Web Site‘ en klik daarna op ‘CertSrv‘.
  3. Zoek het in rechter scherm ‘Authentication‘ en dubbelklik hier op.
  4. Rechtermuisknop op ‘Basic Authentication‘ en klik op ‘Enable
  5. Klik nu in het linker menu op ‘Default Web Site‘.
    Je ziet rechts dat er alleen een http binding op poort 80 is.
    VCF Operations vereist een https verbinding. Klik op ‘Bindings‘ onder ‘Edit Site‘ om dit aan te passen.
  6. Klik op ‘Add‘, kies het type ‘https‘ en selecteer het eerder aangemaakte Web Server certificaat met de FQDN. Sla op met ‘OK‘.
  7. Herstart nu de webserver. Rechtsklik in het linkermenu op de ‘Default Web Site‘, open het submenu ‘Manage Website‘ en klik op ‘Restart

Je hebt nu de installatie en configuratie stappen uitgevoerd, in deel 4 gaan we verder met het maken van de Template voor het certificaat aanvragen.

Bron (3 maart 2026): Configure the Microsoft Certificate Authority for Basic Authentication