ccwurm 10 Geschrieben 20. Oktober 2009 Melden Teilen Geschrieben 20. Oktober 2009 Hallo Leute, trainiere hier schon seit einiger Zeit mit einem Problem herum, bei dem ich jetzt echt einen guten Rat gebrauchen könnte... Bei der Verbindung per Remotedesktopverbindung von einem Windows 7 Rechner auf unseren firmeninternen Windows Terminal Server 2008 bricht der Windows 7 Client immer mit der Fehlermeldung ab: Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden. Dabei ist es so, dass wir an unserem Terminalserver ein selbstsigniertes Zertifikat hinterlegt haben, welches von unserer Unternehmenszertifizierungsstelle kommt. Wir nutzen keinen TS-Gateway. Habe auch unser Stammzertifikat am Windows 7 rechner in die vertrauensw. Stammzertifizierungsst. installiert. Außerdem habe ich auch das Rechnerzertifikat installiert, in die verschiedensten Speicher (Computer, Benutzer). Hat alles nichts gebracht. :rolleyes: Der Rechner ist kein Domänenmitglied und befindet sich nicht im gleichen Netzwerk, Verbindung wird über Internet hergestellt. Kann ich dem Windows 7 Rechner nicht austreiben, dass er das Zertifikat auf Sperrung bei unserem internern und von außen eben nicht zugänglichen Zertifikatsserver prüft? Quasi den Zustand wiederherstellen, wie es unter Windows XP und Vista lief? Meinetwegen auch nur für diese eine Verbindung? Bin für jeden Vorschlag sehr dankbar! Grüße ccwurm Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Oktober 2009 Melden Teilen Geschrieben 20. Oktober 2009 Hi, Dabei ist es so, dass wir an unserem Terminalserver ein selbstsigniertes Zertifikat hinterlegt haben, welches von unserer Unternehmenszertifizierungsstelle kommt. Wir nutzen keinen TS-Gateway. Hier stimmt etwas nicht. Entweder es ist ein selbstsigniertes Zertifikat oder es ist ein Zertifikat, welches von einer CA ausgestellt wurde. Habe auch unser Stammzertifikat am Windows 7 rechner in die vertrauensw. Stammzertifizierungsst. installiert. Außerdem habe ich auch das Rechnerzertifikat installiert, in die verschiedensten Speicher (Computer, Benutzer). Hat alles nichts gebracht. :rolleyes: Also scheinbar nicht selbstsigniert, sondern ein CA issued certificate. Das importieren des Root CA Zertifikats bringt hier nur die halbe Miete, denn scheinbar ist die CRL nicht erreichbar. Laß doch einmal den folgenden Befehl gegen das TS-Zertifikat laufen: C:\> certutil -v -verify -urlfetch Zertifikat.cer Dort wird sicherlich zu sehen sein, daß die CRL ("CDP") entweder abgelaufen oder nicht erreichbar ist. Das muß dann von Dir geändert werden. Viele Grüße olc Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 21. Oktober 2009 Autor Melden Teilen Geschrieben 21. Oktober 2009 Hier stimmt etwas nicht. Entweder es ist ein selbstsigniertes Zertifikat oder es ist ein Zertifikat, welches von einer CA ausgestellt wurde. Du hast natürlich völlig Recht. Ich habe hier Unsinn geschrieben. Es ist von unserer CA ausgestellt worden. Das importieren des Root CA Zertifikats bringt hier nur die halbe Miete, denn scheinbar ist die CRL nicht erreichbar. Ja, das liegt daran, dass die CRL unser CA-Server ist, der ist aber im internen Netz und somit von Extern nicht zu erreichen. Dort wird sicherlich zu sehen sein, daß die CRL ("CDP") entweder abgelaufen oder nicht erreichbar ist. Das muß dann von Dir geändert werden. Ja, er sagt, dass der Sperrserver nicht erreichbar ist. Weder Windows XP, noch Windows Vista sind da so streng und wünschen die Erreichbarkeit des Servers, auf dem die CRL liegt. Zumindest hat der RDP-Client unter den beiden Systemen kein Problem damit. Ich finde eben keine Möglichkeit, die "Sicherheitseinstellungen" des Windows 7 Rechners dementsprechend anzupassen, dass hier eine Verbindung mit dem RDP-Client trotz dieses Umstands zumindest zugelassen wird. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 21. Oktober 2009 Melden Teilen Geschrieben 21. Oktober 2009 Wird die CRL nicht per HTTP angeboten, so dass sie z.B. über eine Webserververöffentlichung via reverse Proxy erreichbar wäre? siehe auch http://www.it-training-grote.de/download/ts-rdp-crl.pdf Christoph Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 28. Oktober 2009 Autor Melden Teilen Geschrieben 28. Oktober 2009 Hallo Christoph, danke für den Tipp, aber den Link und das PDF kenne ich bereits. Hier wird ja letztendlich beschrieben, wie man seinen Zertifikatsserver von "außen" per http zugänglich macht und wie man den Zugriff von anonym ermöglicht, damit die crl für die anfragenden RDP-Teilnehmer erreichbar ist. Aber genau das wollen wir eigentlich nicht. Wir möchten unseren Zertifikatsserver nicht von "außen" zugänglich machen. Ich hatte mir eben erhofft, dass es bei Windows 7 eine Option gibt, die crl nicht zwanghaft abrufen zu müssen. Genau so wie bei Vista und XP auch. Grüße. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 28. Oktober 2009 Melden Teilen Geschrieben 28. Oktober 2009 Hi, ich denke nicht, daß es da einen Unterschied zwischen XP / Vista und Windows 7 gibt. Ist die CRL nicht erreichbar, dann scheitert die Validierung auf allen Systemen. Es gibt durchaus Möglichkeiten, das ganze zu deaktivieren. Dann ist auch weiterhin ein Zugriff möglich, nachdem die CRL abgelaufen ist und keine neue CRL verfügbar ist. Aber ich führe die entsprechenden Schlüssel einmal bewußt nicht auf, denn damit kannst Du im Grunde auch gleich die CA-Implementierung bleiben lassen, denn Sicherheit bietet die PKI dann im Grunde keine mehr. Alternativ könntest Du die jeweils aktuelle CRL direkt auf den betroffenen Clients importieren. Dann sollte es auch wieder mit den derzeit betroffenen Clients klappen - zumindest bis zur nächsten CRL-Ausstellung / Datum. Viele Grüße olc Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 18. November 2009 Autor Melden Teilen Geschrieben 18. November 2009 Sorry, dass ich länger nicht geantwortet habe. Nun ja, es muss wohl einen Unterschied zwischen Vista/XP und Win7 geben, da genau das funktioniert, was ich beschrieben habe. Immerhin benutzen wir das so auf einer Menge von Clients, die alle definitiv keinen Zugriff auf unsere interne CA haben. Mag ja sein, dass die Validierung auf allen Systemen scheitert, ist ja auch logisch, aber ein Windows Vista und Windows XP PC läßt mich zumindest "weiter machen" und verbietet mir den Verbindungsaufbau nicht. Natürlich können wir in Zukunft nicht alle Windows 7 Rechner "anpassen", damit die Sache funktioniert. Wir werden wohl für diesen einen Sever auf ein öffentliches Zertifikat, in den nächsten Monaten, umsteigen. Es ist mir auch klar, dass bei zu vielen Modifizierungen das Arbeiten mit Zertifikaten keinen Sinn mehr macht. Allerdings tun wir seit Beginn ja nichts anderes, als unser Stammzertifikat bei den Clients in die vertrauensw. Stammzertifizierungsstellen zu installieren. Sehr hilfreich finde ich, dass Du die Schlüssel "bewusst nicht aufführst". Damit ist uns natürlich allen geholfen :confused: Grüße ccwurm Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. November 2009 Melden Teilen Geschrieben 19. November 2009 Hi, Nun ja, es muss wohl einen Unterschied zwischen Vista/XP und Win7 geben, da genau das funktioniert, was ich beschrieben habe. Ich kann mich da natürlich auch irren, aber mir wäre kein Unterschied bekannt. Vielleicht wurde in der Umgebung schlichtweg die CRL-Überprüfung auf den alten Systemen deaktiviert. Da die Windows 7 Maschinen neue Images sind, könnte dies bedeuten, daß die Einstellung nicht vorgenommen wurde. Ist ja wie gesagt auch nicht zu empfehlen. Natürlich können wir in Zukunft nicht alle Windows 7 Rechner "anpassen", damit die Sache funktioniert. Wir werden wohl für diesen einen Sever auf ein öffentliches Zertifikat, in den nächsten Monaten, umsteigen. Genau das ist auch der richtige Weg. Oder eben die Publizierung der CRL auf einem öffentlichen CDP. Es ist mir auch klar, dass bei zu vielen Modifizierungen das Arbeiten mit Zertifikaten keinen Sinn mehr macht. Allerdings tun wir seit Beginn ja nichts anderes, als unser Stammzertifikat bei den Clients in die vertrauensw. Stammzertifizierungsstellen zu installieren. Siehe oben, vielleicht wurde das Standardverhalten verändert. Sehr hilfreich finde ich, dass Du die Schlüssel "bewusst nicht aufführst". Damit ist uns natürlich allen geholfen :confused: Wenn Du ein wenig Webrecherche betreibst, wirst Du die Lösung sicher schnell finden. Ich werde jedoch nicht dazu beitragen, eine Maßnahme durchzuführen, die die Gesamtsicherheit der PKI massiv nach unten setzt. Zumal solche Beiträge ja nicht nur von Dir gelesen werden, sondern vielleicht auch von Leuten, die das dann "mal schnell" umsetzen. Viele Grüße olc Zitieren Link zu diesem Kommentar
peter.b 10 Geschrieben 31. Dezember 2009 Melden Teilen Geschrieben 31. Dezember 2009 Hallo, habe ein ähnliches Problem. Folgende Systemkonfiguration. Windows 2008 SP2 + Hyper V, auf dem läuft der Termial. Terminal Server Gateway aktiviert. Habe das Stammzertifikat auf dem windows 7 Rechner installiert, leider bekomme ich immer den Fehler mit der Sperrprüfung. Versuche ich die Verbindung im internen Netzwerk habe ich keine Probleme, funktioniert alles ohne Probleme. Ich weiss nicht mehr weiter, hoffentlich kann mir jemand helfen. MFG Peter Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 31. Dezember 2009 Melden Teilen Geschrieben 31. Dezember 2009 Hallo Peter und willkommen an Board, :) im besten Fall öffnest Du bei solchen Fragen einen neuen Thread, das ist übersichtlicher. ;) In dem Thread hier sind einige Punkte zum Thema genannt worden - hast Du diese geprüft und was sind die Ergebnisse? Auch in Deinem Fall wird die CRL wahrscheinlich nur intern verfügbar sein. Von daher greifen die angemerkten Punkte 1:1 auch für Deine Konstellation. Viele Grüße olc Zitieren Link zu diesem Kommentar
peter.b 10 Geschrieben 4. Januar 2010 Melden Teilen Geschrieben 4. Januar 2010 Hallo olc. Zuerst möchte ich mich für Deine Antwort bedanken. Habe jetzt mit certuil gerpüft, ob die crl abrufbar ist. Intern ist alles ok, aber von extern gibt es den Zugriff nicht. Wie soll ich denn das ermöglichen? Es ist ja nur der https Port offen. Peter Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. Januar 2010 Melden Teilen Geschrieben 4. Januar 2010 Hi Peter, schau Dir die Beiträge oben noch einmal an, dort wurde auf diese Frage schon eingegangen. ;) Kurzform: Entweder die HTTP URL extern verfügbar machen oder aber die CRL extern publizieren und neue Zertifikate ausstellen. Alternativ wären Zertifikate einer offiziellen Third Party CA möglich, was jedoch recht teuer werden kann. Schlechteste Alternative (weil nicht "zukunftsfähig"): Verteilen der CRL direkt auf dem Client, d.h. Import auf den Maschinen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.