Frage zu Terminalserver

[Marco31 33]

Hallo Forengemeinde,

ich habe eine Frage zur Bereitstellung von Programmen über Terminalserver. Benötige ich hier zwingend eine CA für Zertifikate oder kann man sowas auch ohne realisieren? Bisher haben wir keine CA und es besteht derzeit auch kein Bedarf...?

[testperson 1.728]

Hi,

 

generell brauchst du keine CA. Das funktioniert auch mit den entsprechenden selbstsignierten Zertifikaten, die bei Installation erstellt werden.

Nur für Terminaldienste würde ich auch keine eigene PKI / CA aufsetzen, sofern es keinen weiteren Bedarf gibt, sondern auf Zertifikate einer öffentichen CA zurückgreifen.

 

Gruß

Jan

 

P.S.: Ich würde ebenfalls nicht mit selfsigned Zertifikaten "hantieren".

[NilsK 2.968]

Moin,

 

vor 4 Minuten schrieb testperson:

generell brauchst du keine CA. Das funktioniert auch mit den entsprechenden selbstsignierten Zertifikaten, die bei Installation erstellt werden.

Nur für Terminaldienste würde ich auch keine eigene PKI / CA aufsetzen, sofern es keinen weiteren Bedarf gibt, sondern auf Zertifikate einer öffentichen CA zurückgreifen.

[...]

P.S.: Ich würde ebenfalls nicht mit selfsigned Zertifikaten "hantieren".

ich habe eine Idee, was du meinst, aber für den TO dürfte deine Antwort sehr verwirrend sein. Was empfiehlst du denn nun?

 

Gruß, Nils

 

[testperson 1.728]

vor 3 Minuten schrieb NilsK:

Was empfiehlst du denn nun?

Ein käuflich erworbenes bzw. signiertes Zertifikat.

(Wenn genug Zeit und Lust vorhanden ist, kann man das auch mit Let's Encrypt "kostenlos" erledigen.)

 

 

[falkebo 21]

vor 3 Stunden schrieb testperson:

Ein käuflich erworbenes bzw. signiertes Zertifikat.

(Wenn genug Zeit und Lust vorhanden ist, kann man das auch mit Let's Encrypt "kostenlos" erledigen.)

 

Ich gehe mal davon aus das seine Infrastruktur intern betrieben wird und der Terminalserver nicht frei im Internet hängt, bzw. von außen auflösbar ist.
Wenn das der Fall ist, dann klappt das mit den public CAs nicht.

@Marco31 wenn deine Infrastruktur überschaubar ist, kannst du auch die selbstsignierten Zertifikate in deiner Domäne ausrollen.
 

[Marco31 33]

vor 1 Minute schrieb falkebo:

Ich gehe mal davon aus das seine Infrastruktur intern betrieben wird und der Terminalserver nicht frei im Internet hängt, bzw. von außen auflösbar ist.
Wenn das der Fall ist, dann klappt das mit den public CAs nicht.

@Marco31 wenn deine Infrastruktur überschaubar ist, kannst du auch die selbstsignierten Zertifikate in deiner Domäne ausrollen.
 

Genau so ist es. Der Terminalserver soll nicht über das Internet erreichbar sein und ist von außen auch nicht auflösbar. Und wenn jemand von außen drauf soll/muss (irgendwann), dann nur über eine VPN. 

Ja, die Infrastruktur ist sehr überschaubar. 

 

Auf jeden Fall schon mal danke an alle!

[testperson 1.728]

vor 13 Minuten schrieb falkebo:

Ich gehe mal davon aus das seine Infrastruktur intern betrieben wird und der Terminalserver nicht frei im Internet hängt, bzw. von außen auflösbar ist.
Wenn das der Fall ist, dann klappt das mit den public CAs nicht.

Nicht? Wozu kann ich denn den ClientAccessName entsprechend anpassen (https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80)?

Set-RDClientAccessName -ConnectionBroker <Mein Broker> -ClientAccessName MeinBroker.MeineDomain.<"Routbare TLD">

 

vor 13 Minuten schrieb falkebo:

wenn deine Infrastruktur überschaubar ist, kannst du auch die selbstsignierten Zertifikate in deiner Domäne ausrollen.

Ich kann mir auch die Hose auf den Kopf setzen und mich wundern, dass es untenrum zieht. ;)

bearbeitet 8. Juli 2019 von testperson

[falkebo 21]

vor 5 Minuten schrieb testperson:

Nicht? Wozu kann ich denn den ClientAccessName entsprechend anpassen (https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80)?

Set-RDClientAccessName -ConnectionBroker <Mein Broker> -ClientAccessName MeinBroker.MeineDomain.<"Routbare TLD">

 

Ich kann mir auch die Hose auf den Kopf setzen und mich wundern, dass es untenrum zieht. ;)

Weist du was ich immer lustig in diesen ganzen Foren finde?
Alle versuchen sich mit Ihrem know-how zu profilieren und vergessen dabei um was es geht.

Schreib halt direkt was du meinst.
 

Ich kann die Hose auch vergessen und mich wundern, dass es untenrum zieht ;)

[testperson 1.728]

vor 25 Minuten schrieb falkebo:

Weist du was ich immer lustig in diesen ganzen Foren finde?

Vielleicht: "Ich bin so unentschlossen. Als japanischer Krieger wäre ich ein Nunja."?

vor 26 Minuten schrieb falkebo:

Alle versuchen sich mit Ihrem know-how zu profilieren und vergessen dabei um was es geht.

Manchmal werden halt ziemlich allgemeine Fragen mit wenigen Infos gestellt und eine fix und fertige Lösung erwartet. Ab und an muss man sich dann auch mal ein wenig selber helfen und ggfs. etwas detailierter Fragen.

vor 31 Minuten schrieb falkebo:

Schreib halt direkt was du meinst.

Ich meine, die Antwort auf die eigentliche Frage, wäre sogar nur ein "Nein." gewesen.

vor 32 Minuten schrieb falkebo:

Ich kann die Hose auch vergessen und mich wundern, dass es untenrum zieht ;)

Ich könnte auch "aus dem Zubehör" eine Hose erwerben, die vorne und hinten oben jeweils Löcher haben, da ziehts vermutlich auch.

[falkebo 21]

vor 17 Minuten schrieb testperson:

Ich könnte auch "aus dem Zubehör" eine Hose erwerben, die vorne und hinten oben jeweils Löcher haben, da ziehts vermutlich auch.

 

Mir gefällt diese Analogie sehr, vielleicht sollten wir daraus in weiteren Beiträgen einen Insider machen? :)

[daabm 1.366]

vor 6 Stunden schrieb testperson:

Ich meine, die Antwort auf die eigentliche Frage, wäre sogar nur ein "Nein." gewesen.

Da gibts halt mittelfristig Rüffel von den Mods wegen "User suchen Hilfe" War aber oft auch meine bevorzugte Antwort - "Ja/Nein", fertig.