Wildcard Zertifikat für RDS Farm nach CA Migration mit Sperrlistenfehler

[Mack 10]

Eine Serverlandschaft wird Stück für Stück auf neue Hardware und neue Systeme (Windows Server 2012 R2)

migriert.

 

U.a. wird es auch eine RDS-Farm geben, welche durch ein Wildcard Zertifikat der AD eigenen Zertifikatsstelle

die Verbindungen sichert.

Die Anmeldung der User wird innerhalb der AD erfolgen. 

Damit die Anmeldung per Single Sign On ohne Hinweise beim Verbindungsaufbau abläuft, 

wurde 

- das WildCard Cert per GPO als vertrauenswürdige Stammzertifizierungsstelle und Herausgeber verteilt

- auf den einzelnen RDHS installiert

- der ermittelte Thumbprint an den RDS Dienst auf den einzelnen RDHS mit 

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="ThumbprintDesZertifikats"

gebunden

- die RDP Datei konfiguriert und danach via rdpsign signiert

- Der Thumbprint via GPO in den trusted .rdp publishers bekannt gemacht

 

Alles super. 

SSO verbindet den User ohne jegliche Meldung mit der Farm.

 

Nun stand am Wochenende auch der Umzug der AD integrierten Zertifizierungsstelle an.

To be honest, AD Zertifizierung ist nicht mein Steckenpferd und habe die Migration brav nach einer der diversen Migations HowTos gemacht.

 

- Zert.stelle gesichert

- Root Zert exportiert

- Regkey der Konfiguration exportiert

- Zert.stelle deinstalliert

 

- Zert.stelle auf neuem Server installiert

- Root Zert importiert

- im Regkey den CAServerName auf den neuen Server geändert und importiert

- Rücksicherung der CA

- Neustart CA

und alle Zertifikate wieder da

 

Problem:

SSO des RDP Icons bringt seitdem Fehlermeldungen

Nach Ansicht des Zertifikates vermeintlich auch logisch, da CRL im Zertifikat ja noch auf die Sperrliste im alten Server verwies.

Ok, flugs eine neues WildCard erstellt und ganzes Procedere oben bezüglich RDP SSO erneut durchgeführt.

 

Leider meckert er noch immer, dass er die Sperrliste nicht überprüfen kann, obwohl der CRL Eintrag im Zert nun auf den neuen Server zeigt.

 

Ein certutil -verify -urlfetch zeigt mir keine Fehler an, wenn ich das richtig interpretiere.

Es gibt keine HTTP Url Einträge, sondern "nur" ldap, was meines Wissens innerhalb der Domäne ja ausreichen müsste.

Gab es im Übrigen im alten Wildcard Zertifikat auch nicht und da lief es ja.

 

Kann mir jemand auf die Sprünge helfen?

 

Vielen Dank.

 

 

[Mack 10]

Update:

 

Sorry. Ich habe die Fehlermeldung im Wortlaut ja komplett verschwitzt.

 

Beim Aufruf des RDP Icons bekommen wir die Fehlermeldung:

 

Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden.

 

Im Übrigen habe ich in der CA in den Erweiterungen zu den CRL bei den Http Einstellungen die Haken gesetzt,

"In Sperrlisten einbeziehen" und "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen.",

ein neues Zertifikat erstellt und nun ein Zertifikat das auch eine Http Url enthält.

 

Der Abruf der Sperrliste vom entsprechenden Client via Explorer funktioniert einwandfrei.

 

Wenn man den Dialog, ob man trotzdem verbinden möchte, obwohl die Sperrprüfung nicht erfolgen konnte, 

mit Ja bestätigt, wird der Dialog wiederholt. Nach erneutem Bestätigen verbindet er sich per SSO ohne weiteres Murren.

Beim nächsten Connect das gleiche Spiel.