phatair 39 Geschrieben 21. August 2013 Melden Teilen Geschrieben 21. August 2013 Hallo zusammen, mir läuft immer öfter das Thema "Zertifikate" über den Weg. Sei es bei unserer neuen RDP Farm oder den RemoteApps. Bei der RDP Farm äußert es sich so, dass beim verbinden zu der RDP Farm immer gefragt wird ob das Zertifikat vertrauenswürdig ist und ich dies bestätigen muss. Bei den RemoteApps erhalte ich auf dem Web Access im Internet Explorer immer die Meldung das die Seite unsicher ist und ob ich trotzdem fortfahren möchte. Nun habe ich versucht mich ein bisschen in das Thema einzulesen aber so ganz ist mir das noch nciht gelungen. Ich bin soweit, dass es externe Zertifikate gibt, diese müssen wohl gekauft werden und werden von Zertifizierungstellen erstellt. Oder man erstellt selbst Zertifikate, dazu braucht man wohl einen CA Server oder so ähnlich. Ich haber mir aber auch mal selbst ein Zertifikat erstellt (für den LUP, mit diesem kann man eigene z.B. MSI Pakete in den WSUS integrieren). Dieses Tool hat ein Zertifikat selbst erstellt, dieses habe ich dann mit Hilfe der Gruppenrichtline verteilt und in den Bereich "vertrauenswürdige Zertifikate" installiert. Meine Frage ist nun, kann ich das auch mit Zertifikaten für die RDP Farm und die RemoteApps machen? Wenn nein, wie kann man die benötigten Zertifikate erstellen? Vielen Dank schon mal. Gruß Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 21. August 2013 Melden Teilen Geschrieben 21. August 2013 Du kannst alle möglichen Zertifikate per GPO verteilen. Bei eine steigenden Anzahl von Zertifikaten wird das aber mit einer CA einfacher (du musst z.B. nur das Root Zertifikat verteilen) und hast dann gleich mehr Möglichkeiten. Externe Zertifikate sind dafür da, wenn du Dienste im Internet anbietest und keine Kontrolle über die Endgeräte hast. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 21. August 2013 Autor Melden Teilen Geschrieben 21. August 2013 Hallo Dukel, vielen Dank für die Antwort, dass ist schon mal gut zu wissen. Da wir im Moment nur 2-3 Zertifikate haben, lohnt sich ein CA Server im Moment wohl noch nicht bzw. müsste ich mich dazu erstmal einlesen. Was mir aber noch nicht ganz klar ist, auf den RDP Server gibt es unter Zertifikate -> Temote Desktop - Zertifkate ein Zertifikat mti dem Namen des RDP Servers. Wenn ich das Zertifikat anschaue, steht dort folgendes: Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig. Installieren Sie das Zertifikat in den Speicher vertrauenswürdige Stammzertifizierungsstellen, um die Vertrauensstellung zu aktivieren. Bedeutet das, dass ich dieses Zertifikat nur auf dem RDP Server in "Vertrauenswürdige Stammzertifizierungsstellen" verschieben muss oder muss dieses Zertifikat dann auch auf allen Clients die sich mit dem RDP Server verbinden in diesem Bereich installiert werden? Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 21. August 2013 Melden Teilen Geschrieben 21. August 2013 Du musst es auf den Clients installieren. Diese müssen dem Zertifikat trauen. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 12. September 2013 Autor Melden Teilen Geschrieben 12. September 2013 (bearbeitet) Hallo, das Thema ist leider etwas hinten runtergefallen. Nun habe ich aber das Zertifikat vom RDP Server auf meinem PC in die vertrauenswürdige Stammzertifizierungstellen importiert. Wenn ich eine RDP Verbindung zu dem Server aufbaue kommt aber trotzdem die Meldung "Zertifikatfehler - der Servername auf dem Zertifikat ist falsch". Der Angeforderte Remotecomputer ist unsere RDP Farm, im Zertifikat stehen die einzelnen RDP Server. Kann ich für die Farm auch ein Zertifikat erstellen? bearbeitet 12. September 2013 von phatair Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 12. September 2013 Melden Teilen Geschrieben 12. September 2013 Ja, und das ist einfacher als man denkt. ;) http://www.derekseaman.com/2013/01/creating-custom-remote-desktop-services.html HTH Norbert Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 12. September 2013 Autor Melden Teilen Geschrieben 12. September 2013 Hallo Norbert, vielen Dank für den Link. Das bedeutet aber auch, das man einen CA Server benötigt, richtig? Kann man diese Rolle einem 2008R2 Enterprise Server einfach hinzufügen und dann mit dem erstellen der Zertifikate etwas "spielen". Ich möchte nur Zertifikate für die RDP Farm und RemoteDesktop Apps erstellen. Oder ist die Gefahr, dass man sich z.B. selbst aussperrt oder ähnliches, sehr groß und man sollte das lieber von einem erfahrenen Dienstleister machen lassen? Gruß, Steffen Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 12. September 2013 Melden Teilen Geschrieben 12. September 2013 Ja, dafür braucht man dann eine CA, wäre sowieso empfehlenswert. Allerdings sollte man sich damit dann auch ein wenig beschäftigen. ;) Wenn keinerlei Erfahrungen vorliegen, würde ich vorschlagen eine Testumgebung aufzubauen, da man beim Design von PKI doch ein bisschen beachten sollte, dass sowas für oft recht lange Zeit in Betrieb ist. Dienstleister wäre natürlich auch ne Möglichkeit. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.