S.R. 14 Geschrieben 25. Januar 2009 Melden Teilen Geschrieben 25. Januar 2009 Hallo, ich möchte meine Windows Server (die hauptsächlich über remote - also RDP - administriert werden) mit SSL/TLS absichern. Dazu habe ich mir von der CA (eigener W2K3 Server) ein Zertifikat erstellt und dies auf dem ersten Test-W2K8-Server eingerichtet. Wenn ich in mmc mir die "Zertifikate - Aktueller Benutzer" anschaue, dann steht dies aktuell unter "Eigene Zertifikate - Zertifikate" und ist dort auch korrekterweise mit "Sie besitzen einen privaten Schlüssel für dieses Zertifikat" markiert. In den "RDP-Tcp Eigentschaften" habe ich unter "Allgemein" ausgewählt: - SSL (TLS 1.0) - FIPS-konform - Zertifikat => hier kommt das Problem :-) Klicke ich auf "Auswählen", dann erscheint eine Liste mit den Zertifikaten, die verwendet werden können. Allerdings ist diese Liste leer und ich weiß zum Verrecken nicht, wie ich hier Zertifikate reingeladen bekomme bzw. wo diese liegen müssen, damit diese dort angezeigt werden. Hat jemand von euch einen Idee, was ich vergessen habe bzw. falsch gemacht habe? Das kann doch eigentlich nicht so schwer sein, oder? Dankend Stefan Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 25. Januar 2009 Melden Teilen Geschrieben 25. Januar 2009 Ist es auch nicht. Welches Zertiifkat hast du denn für den TS ausgestellt? Hier mal ein kleiner Tipp: Frank´s kleiner Brainpool - Terminalserversessions durch Zertifikate schuetzen. Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 25. Januar 2009 Autor Melden Teilen Geschrieben 25. Januar 2009 Hallo, wie auch in den HowTo zu lesen, habe ich ein Webserver-Zertifikat erstellt und anschließend installiert. Dann steht es unter "mmc - zertifikate - aktueller Benutzer" im Bereich "Eigene Zertifikate". Im HowTo steht "Mit Bearbeiten, die Schaltfläche für Zertifikate, kann man das Zertifikat auswählen und bestätigen. Der korrekte DNS Name muss im Feld Zertifikat angezeigt werden, damit das Zertifikat nutzbar ist!" Was genau meint man dort mit "korrekter DNS Name"? Wenn ich auf dem Server "nslookup IP-Adresse" eingebe, dann steht dort server.domain. Wenn ich das neu erstellt Zertifikat öffne, dann steht dort unter "Ausgestellt für:" auch server.domain. Trotzdem wird das Zertifikat unter server RDP-Konfiguration nicht angezeigt. Das HowTo bezog sich auf W2K3, allerdings verwende ich W2K8. Gibt es hier eventuelle Anpassungen, die mir nicht geläufig sind? Vielen Dank Stefan Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 25. Januar 2009 Melden Teilen Geschrieben 25. Januar 2009 Wenn du den FQDN eingibst, dann kan st du nichts falsch machen. NSlookup ist aberauch ok. Ich habe den artikel geschriben, da gab es den Server 2008 nohc nicht. Ich gucke mir das mal an. Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 25. Januar 2009 Autor Melden Teilen Geschrieben 25. Januar 2009 Hallo, vielen Dank für deine Mühe. Allerdings stehe ich da mit dem FQDN noch wegen eines dann auftretenden Problems auf Kriegsfuß - vielleicht fällt dir dazu ja auch was sinnvolles ein: Unsere Firewall lauscht auf alle unsere externen festen IPs und leitet dann gewissen Ports an gewisse interne Server weiter. Der Server hat also z.B. den Namen: internerServer.Domain.local, von außen ist er aber nur über ts.domain.de erreichbar. Da würden die FQDN ja nie zusammenpassen, was ein Problem darstellen würde. Vielen Dank für deine Mühe Stefan Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 26. Januar 2009 Melden Teilen Geschrieben 26. Januar 2009 Hi! "mmc - zertifikate - aktueller Benutzer" Das Zertifikat für den Webserver muss aber im Zert.-Speicher für den Computer hinterlegt werden. Steht auch so im Tutorial. Bezgl. der unterschiedlichen Namen: Wenn Du z.B. einen ISA Server dazwischen schaltest, kannst Du auf dem ISA ein Zertifikat für den öffentlichen Namen hinterlegen und den TS dort unter diesem Namen veröffentlichen. Der Terminal-Server kann dann intern den lokalen Namen behalten und auf diesen leitest Du die Veröffentlichung dann weiter. Hab ich für Exchange (OWA) mal so eingerichtet in einer Test-Umgebung. Könnte ggf. auch für TS-Web klappen. Christoph Zitieren Link zu diesem Kommentar
S.R. 14 Geschrieben 26. Januar 2009 Autor Melden Teilen Geschrieben 26. Januar 2009 Hallo, vielen Dank für deine Mühe - das Zertifikat liegt nun auch im "Lokalen Computer"-Verzeichnis. Hatte dies schon häufiger hin und her geschoben, aber keine Änderung war erkennbar. Wir verwenden hier keinen ISA-Server und ist auch aktuell nicht geplant. Wir verwenden eine Linux-Firewall auf Basis von IPTables. Da wäre dein Verfahren dann nicht möglich - bzw. ist mir da kein Weg bekannt. Mal schauen, was Google dazu meint :-) Dankend Stefan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.