kosta88 2 Geschrieben 2. Mai 2018 Melden Teilen Geschrieben 2. Mai 2018 Hallo, ich taste mich an das Thema Zertifikate näher ran, und spiele in meiner Test-Umgebung ein bissher rum... Ich habe eine interne CA. Soweit gut. Ich möchte für den RDS von der internen CA ein Zertifikat für den RD Connection Broker erstellen. Mein RDS ist S01.lab.local, meine Collection ist RDS (rds.lab.local). Natürlich ich verbinde mich mit rds.lab.local und möchte dass man RD Connection Broker das richtige Zertifikat hat -> jedoch wenn ich am S01 bin, bekomme ich immer Zertifikat mit "Issued To": s01.lab.local, wobei ich eigentlich rds.lab.local benötige. Ich hätte gedacht es reicht ja wenn man den CN Eintrag hinzufügt, ist aber offensichtlich nicht so. Was muss ich beim Request tun, dass mein ausgestelltes Zertifikat für s01.lab.local auch für rds.lab.local gilt? Danke Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 2. Mai 2018 Melden Teilen Geschrieben 2. Mai 2018 Moin, du musst dafür eine eigene Zertifikatsvorlage erzeugen, die den Namen nicht aus dem AD generiert. Folgender Artikel dürfte passen: https://blog.alschneiter.com/2014/04/28/how-to-deploy-remote-desktop-services-2012-r2-certificates-unsing-internal-ca/ Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 2. Mai 2018 Autor Melden Teilen Geschrieben 2. Mai 2018 Ah super! Vielen Dank! Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 3. Mai 2018 Autor Melden Teilen Geschrieben 3. Mai 2018 Ein kleines Update: Die Seite brachte mich auf den richtigen Pfad, aber die Anleitung funktionierte 1:1 leider nicht. Ich musste das hier befolgen: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn781533(v=ws.11) Spezifisch Punkte 7-9 Und das ist für Server 2016 auch nicht ganz korrekt. Es heißt New -> Certificate Template to Issue, und dann muss man noch den CS-Dienst neustarten. Dann konnte ich es über Autoenrollment machen, denn über Create Custom Request konnte ich nur die req-datei erstellen, und import dieser über certsrv-webseite funktionierte nicht, dort habe ich "Denied by Policy Module 0x80094802, The request specifies conflicting certificate templates" bekommen - was auch immer das genau bedeutet (vielleicht würde funktionieren nachdem ich die Punkte 7-9 gemacht habe). Wie auch immer, die Sache funkt jetzt perfekt. Und mal wieder paar Sachen gelernt Danke nochmals- Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 3. Mai 2018 Melden Teilen Geschrieben 3. Mai 2018 Moin, äh - aber per Autoenrollment bekommt doch das Zertifikat den Servernamen, keinen anpassbaren. Oder was genau ist da jetzt die Anforderung? Die certsrv-Webseite ist Uralttechnik und kann nur sehr wenige Zertifikatstypen ausstellen. Im Regelfall sollte man die nicht mehr verwenden. Was manuelle Requests angeht: [Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net]https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/ Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 3. Mai 2018 Autor Melden Teilen Geschrieben 3. Mai 2018 (bearbeitet) Hi, ich bin da jetzt ziemlich noch grün, aber ich denke dass wenn man eine neue Template erstellt (dupliziert), die man sich so anpasst wie man will (inkl. die Berechtigung für Auto-Enrollment), aber die Einstellung bei Subject Name auf Supply in the request ändert, greift die CN Einstellung beim Enrollment. Und dadurch wir auch mein Connection Broker Name (rds.lab.local) übernommen. Mir wurde beim Auto-Enrollment dann eine zusätzliche Auswahl für meine duplizierte Template gegeben. Ausgangsgrundlage sind ja die Zertifikat-Hinweise bei der RDP-Verbindung zum Server, und ich wollte statt dem Self-Signierten Zertifikat einen von der AD-CS ausstellen. Danke für die Info vonwegen certsrv - und die Seite lese ich mir durch. bearbeitet 3. Mai 2018 von kosta88 Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 3. Mai 2018 Melden Teilen Geschrieben 3. Mai 2018 Moin, solche Zertifikatsvorlagen nie auf Autoenroll stellen. Du gibst damit die Kontrolle ab, wer ein Zertifikat für welchen Namen erhält. Effektiv hast du jetzt dafür gesorgt, dass jeder, der das Autoenroll-Recht hat, ein Zertifikat für einen beliebigen Computernamen anfordern kann, ohne dass dies geprüft wird. Das willst du nicht - Ruck-zuck hat jemand ein Zertifikat auf den Namen eures Mailservers für sich ausgestellt und kann sich als dieser ausgeben, ohne dass Clients eine Chance haben, das zu bemerken. Gruß, Nils PS: Es gibt schon Gründe, warum man eine PKI sorgfältig entwerfen sollte ... Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 3. Mai 2018 Autor Melden Teilen Geschrieben 3. Mai 2018 (bearbeitet) Hi, ah - verstehe. Nicht ganz sinnvoll. Das Auto-Enroll bereits entfernt... Also wenn ich das richtig verstehe, ist deine Seite auf faq-o-matic der richtige Weg das manuell zu machen? bearbeitet 3. Mai 2018 von kosta88 Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 3. Mai 2018 Melden Teilen Geschrieben 3. Mai 2018 Es ist zumindest der deutliche Hinweis, dass deine Variante nicht die richtige ist. ;) Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 3. Mai 2018 Melden Teilen Geschrieben 3. Mai 2018 Moin, du kannst das auch für eine passende Gruppe auf "Enroll" (nicht Autoenroll - der Unterschied ist die manuelle vs. automatische Genehmigung) setzen und den Assistenten nehmen. Wenn der mit der CA kommunizieren kann und die richtige Vorlage mit den richtigen Daten anfordert, braucht es ja nicht den Aufwand mit dem CSR. Wichtig ist vor allem, dass du solche Zertifikatsanforderungen immer prüfst und manuell freigibst, sonst kannst du dir den Zirkus gleich ganz sparen. Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 3. Mai 2018 Autor Melden Teilen Geschrieben 3. Mai 2018 Ja, genau in dieser Richtung habe ich heute schon überlegt. Ich konnte heute nicht mehr viel damit tun, aber sehe es mir dann eh an. Mal sehen wie weit ich komme. Ich hab auch paar Training Videos dazu... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.