Windows Terminalserver 2012 r2 Zertifikate

[twenty 12]

Jumper205 in Beitrag Nr.10 steht: Der Sessions Host selbst hat das Zertifikat ausgestellt. Sorry, habe ich vorher übersehen. Dies deutet darauf hin, dass ein Selfsign Zertifikat an das RDP Protokoll gebunden ist.

 

Eine CA von Microsoft stellt per Default keine Zertifikate mit SAN's aus. Diese Funktion muss extra aktiviert werden.

Der Befehl dazu -> certutil.exe -setreg policy\editflags +EDITF_ATTRIBUTESUBJECTALTNAME2

 

Neustart der Zertifikatsdienste und danach eine neue Vorlage erstellen. Die Vorlage benötigt die OID "Server Authentication". In der Vorlage den Reiter "Subject Name" die Option "Supply in the request" aktivieren. Erst durch diese Option ist es möglich, SAN's beim Zertifikatsrequest einzutragen. Jetzt noch die Vorlage in die CA importieren.

 

Zu beachten ist die Gültigkeitsdauer des Zertifikats. Ein längerer Zeitraum ist hier von Vorteil (meine persönliche Meinung). Bei größeren Installation ist es lästig, jedes Jahr auf allen Servern die Zertifikate zu erneuern.

 

Jetzt kannst du den Request absetzen und die SAN's mit angeben. Das Zertifikat mit dem privaten Schlüssel exportieren und noch auf allen Servern importieren (Computerstore).

 

Jetzt noch die Zertifikate wie in http://ryanmangansitblog.files.wordpress.com/2013/03/rds-certs2.png - und hier -> http://www.windowspro.de/wolfgang-sommergut/terminal-server-farmen-zertifikate-session-hosts-zuweisen - beschrieben, zuweisen.

 

Das sollte es gewesen sein.

[Jumper205 0]

Hey danke ,

 

die Zertifikatvorlage erstelle ich doch auf dem CA in MMC.exe -> Snap in Zertifikate oder ?

 

den Befehl :

 

certutil.exe -setreg policy\editflags +EDITF_ATTRIBUTESUBJECTALTNAME2

 

Muss der in CMD oder Windows +R eingeben werden?

 

Bekomme nach der Eingabe keine Bestätigung es öffnet sich nur das kurz das CMD Fenster und schließt sich wieder..

 

EDIT1: Den Befehl habe ich in der PowerShell auf dem CA erfolgreich ausgeführt. Nur wo neue Vorlage erstellen ??

 

So langsam komm ich der Sache näher.

bearbeitet 31. Oktober 2014 von Jumper205

[Sunny61 811]

Dann öffne doch eine CMD und gib den Befehl dort ein, dann siehst Du auch eine Antwort.

[tesso 375]

Warum willst du jetzt die CA auf SAN umstellen?

Nach deiner eigenen Aussage stehen im Zertifikat doch alle Namen drin. War das nur eine Behauptung oder eine Tatsache?

Hast du nun eine CA oder nicht?

Die Maschine auf der du das mstsc aufrufst vertraut dem Zertifikat des RDS nicht. Du musst das Stammzertifikat deiner CA auf der aufrufenden Maschine importieren.

[Jumper205 0]

Na klar haben wir eine CA.

 

Im Zertifikat was ich auf der CA für den Verbindungbroker erstellt habe stehen alle Namen aller Session Hosts drin .

 

Ich kann Importieren was ich will er holt sich immer das Lokale Zert vom dem Session Host den er sich aussucht.

 

 

Die Maschine auf der du das mstsc aufrufst vertraut dem Zertifikat des RDS nicht. Du musst das Stammzertifikat deiner CA auf der aufrufenden Maschine importieren.

 

 Ich renne doch nicht zu jedem Rechner und Importiere das Zertifikat da , das geht doch auch über SAN Zertifikate oder irre ich mich ??

[tesso 375]

Du irrst dich gewaltig.

Ich renne auch nicht zu jedem Rechner. GPO ist ein Begriff?

 

Ich habe das Gefühl du hast Zertifikat überhaupt nicht verstanden.

Es gibt eine Zertifikatskette. Am Anfang steht eine Root CA mit einem Zertifikat. Die unterzeichnet die Zertifikate der anderen Maschinen (RDS.-Server). Der Client welcher zugreift (mstsc) bekommt vom RDS Server sien Zertifikat präsentiert. Der Client muß nun entscheiden, ob er dem Zertifikat traut oder nicht. Dazu wird das Stammzertifikat in den Client importiert.

SAN Zertifikat enthalten einfach mehrere Namen im Zertifikat. Das hat aber nichts damit zu tun, wer dem Zertifikat vertraut.

[Jumper205 0]

Okay

 

ja GPO ist ein Begriff .

Also ordne ich das Zertifikat einfach den Benutzern per GPO zu und fertig??

 

Also müsste ich ohne SAN für jeden Session Host ein eigenes Zertifikat erstellen .?

 

Ich werde das mal versuchen die Zertifikate per GPO zu zuordnen.

[Dukel 457]

Du wirst ein SAN Zertifikat brauchen. Es soll ja der Hostname und der Cluster Name im Zertifikat stehen.

Du sollst nicht das Zertifikat den Benutzern zuweisen sondern das Root Zertifikat auf alle Clients verteilen.

 

Wozu nutzt du Zertifikate?

[Jumper205 0]

Damit z.B. unsere Aussendienstler bei einer Verbindung diese Meldung nicht mehr sehen . 

[Dukel 457]

Das ist kein Grund. Wenn diese die Meldung nicht sehen sollen dann lass die Zertifikate ganz weg.

 

Ein Grund wäre Sicherheit durch verschlüsselte Verbindung. Aber Sicherheit bekommt man nicht, wenn man einfach mal losbastelt.

[tesso 375]

 

Du sollst nicht das Zertifikat den Benutzern zuweisen sondern das Root Zertifikat auf alle Clients verteilen.

 

Das sollst du machen.

 

Und als nächste Aufgabe verschaff dir Grundlagen wie Zertifikate funktionieren. Wir erzählen hier seit ca. Posting 4 immer dasselbe.

 

 

Damit z.B. unsere Aussendienstler bei einer Verbindung diese Meldung nicht mehr sehen . 

 

Wenn sie keine Fehlermeldungen mehr sehen sollen, nutze keine Zertifikate oder mache es richtig. Ein Cert hilft dir per se erst einmal nicht, um eine Meldung nicht zu haben.