Zertifikat RDS Server und Signierung RDS Icon

[Alith Anar 40]

Hallo,

 

Da ich jetzt zum ersten mal vor dem Thema stehe :

 

Heute läuft das Zertifikat unseres RDS Server ab. Das Zertifikat vom Broker und Host habe ich durch ein neues ersetzt. Soweit so gut und schön

Im letzten Jahr wurde aber auch das RDS Icon mit dem sich die Benutzer auf den RDS verbinden signiert, natürlich mit dem damals aktuellen jetzt ablaufenden Zertifikat. Muss auch das mit dem neuen Zertifikat signiert werden, oder kann hier das alte abgelaufene Zertifikat bestehen bleiben?

 

Danke

Thomas

[NilsK 2.978]

Moin,

 

vor 9 Minuten schrieb Alith Anar:

Im letzten Jahr wurde aber auch das RDS Icon mit dem sich die Benutzer auf den RDS verbinden signiert, natürlich mit dem damals aktuellen jetzt ablaufenden Zertifikat.

was genau soll das heißen? Wie signiert man ein Icon?

 

Gruß, Nils

 

[Alith Anar 40]

Mit rdpsign:

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/rdpsign
 

[NilsK 2.978]

Moin,

 

ah, OK. Wie man vielleicht merkt , habe ich mit RDS nicht so viel zu tun. Daher die Nachfrage, ich wollte schauen, ob da nicht was missverstanden ist. Ist es anscheinend nicht, passt.

 

Also, vorbehaltlich einer Äußerung von jemandem, der die RDS-Dinge besser kennt als ich, bin ich (weil ich mich hier ja schon eingemischt habe) der Meinung, dass ein abgelaufenes Zertifikat vom System sicher nicht akzeptiert wird. Daher wird man die RDP-Datei mit dem neuen Zertifikat neu signieren müssen.

 

Gruß, Nils

 

[Alith Anar 40]

Dann deckt sich zumindest unsere Einschätzung ;)
 

bearbeitet 18. November 2020 von Alith Anar

[tesso 377]

Technisch könnte man mit einem externen Timestampserver signieren. Dann wäre die Signatur auch weiterhin gültig.

Ich vermute aber ganz stark, daß das nicht gemacht wurde.

 

Edit: rdpsign kennt anscheinend keinen timestampserver.

bearbeitet 18. November 2020 von tesso

[testperson 1.758]

Hi,

 

wenn du den RDS Feed nutzt, passiert das (AFAIK) automagisch.

 

Ihr habt vermutlich händisch ein RDP File erstellt, signiert und dann auf die PCs verteilt. Das würde ich, sofern nichts dagegen spricht, einfach per RDS-Feed und GPO lösen lösen.

 

Gruß

Jan

bearbeitet 18. November 2020 von testperson
:)

[NilsK 2.978]

Moin,

 

siehste, das meine ich mit "sich besser auskennen als ich". 

 

Das mit dem Timestamp hatte ich mir auch schon gedacht, aber wenn ich das Verfahren richtig verstehe, nutzt es gar kein Code-Signing-Zertifikat. Das wäre dann vielleicht eine Alternative für die Zukunft, denn denselben Effekt müsste man ja auch per Code Signing erzielen können.

 

Gruß, Nils

PS. "lösen lösen" ist sehr schön. 

[Alith Anar 40]

vor 53 Minuten schrieb testperson:

Hi,

 

wenn du den RDS Feed nutzt, passiert das (AFAIK) automagisch.

 

Ihr habt vermutlich händisch ein RDP File erstellt, signiert und dann auf die PCs verteilt. Das würde ich, sofern nichts dagegen spricht, einfach per RDS-Feed und GPO lösen lösen.

 

Gruß

Jan

Das manuell erstellte RDP Icon rollen wir per GPO und Loginscript auf die PCs aus.

 

Was meinst du mit RDP-Feed?
Als Webseite, wie hier: https://knowledge.mycloudit.com/add-remote-desktops-and-remote-apps-to-the-windows-start-menu ?

Danke

Thomas

 

PS: Bei mir muss es nicht magisch sein, reicht auch per Script und Wissen 

bearbeitet 18. November 2020 von Alith Anar

[testperson 1.758]

vor 31 Minuten schrieb Alith Anar:

Was meinst du mit RDP-Feed?
Als Webseite, wie hier: https://knowledge.mycloudit.com/add-remote-desktops-and-remote-apps-to-the-windows-start-menu ?

Ja, das meine ich mit RDP-Feed. Allerdings würde ich das nicht "händisch verteilen", sondern per GPO (https://gpsearch.azurewebsites.net/#8113).