Remote-Desktop: Zertifikat ändern

[S.R. 14]

Hallo zusammen,

 

ich habe hier mehrere Windows Server 2012 R2 die ein sich typischerweise nach der Windows-Installation ein Zertifikat für den Remote-Desktop-Dienst erstellt haben. Nun hat dies zur Folge, dass bei jeder Anmeldung eine entsprechende Warnung bzgl. Zertifikatsfehler auftritt. Diesen Zustand möchte ich gerne ändern.

 

Ich habe nun ein Zertifikat in unserer CA erstellt und schon darauf geachtet, dass die Schlüsselverwendung auf Serverauthentifizierung (1.3.6.1.5.5.7.3.1) steht. Anschließend habe ich den p12-File unter "Zertifikate (Lokaler Computer) - Remotedesktop - Zertifikate) importiert. Dort liegt auch das Zertifikat, welches aktuell verwendet wird. Dann habe ich das Zertifikat geöffnet und mir den Fingerprint geöffnet und im Editor die Lehrzeichen entfernt.

 

In der cmd habe ich nun folgenden Befehl eingegeben:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="58b8266402c5649380f71272df162c8d2094ab78"

Leider erhalte ich immer den Fehler "Beschreibung = Der Parameter ist ungültig."

 

Ich habe nun auch schon versucht den Wert in der Registry zu ändern:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Value name:  SSLCertificateSHA1Hash

Leider hat auch dies zu keinem Erfolg geführt; ganz im Gegenteil => nach einem Neustart konnte keine RDP-Verbindung mehr hergestellt werden.

 

Hat jemand von euch eine Idee woran dies liegen könnte? Bin nämlich schon leicht am Verzweifeln...

 

Beste Grüße

 

Stefan

 

[NorbertFe 2.096]

Wieso regelst du das eigentlich händisch? Das geht doch recht problemlos per gpo. Oder sind die Server nicht im ad?

[speer 19]

Hi,

der Fingerabdruck muss mit einem vertrauenswürdigem Herausgeber kombiniert sein. Geht doch über GPO ganz einfach, warum manuell in der Registry wurschteln...?

Daran denken dem Client die GPO zu zuordnen :)