RDS 2022 nach Erneuerung Zertifikate - unerwartetes Serverauthentifizierungszertifikat

[wicksupport 10]

Umgebung: Windows Domäne mit RDS 2022 (kein Cluster - alle Rollen auf dem Server installiert). Der Server lief mit dem HTML5 Client ohne Probleme. Da die Zertifikate abgelaufen sind, haben wir die neuen Zertifikate hinterlegt. Dabei handelt es sich um eine .pfx Datei von unserem Exchange Server. Der Exchange Server hat die CSR Datei für die CA erstellt (offizielle CA mit Zwischenzertifikat, keine interne CA). Die .pfx Datei wurde sowohl in den Bereitstellungseigenschaften (alle 4 Rollendienste), als auch beim RDWebClientBrokerCert (Import-RDWebClientBrokerCert c:\temp\zertifikat.pfx -PromptforPassword) hinterlegt. Dennoch kommt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support."

 

Wo können wir ansetzen, um den Fehler zu beheben?

 

Gruß

wicksupport

[Nobbyaushb 1.472]

Welches Zertifikat ist im IIS angebunden?

[wicksupport 10]

Die gleiche .pfx Datei wurde importiert.

[NilsK 2.939]

Moin,

 

wenn es sich um das Zertifikat eures Exchange-Servers handelt, ist das auf dem RDS ja auch nicht richtig. Ein Zertifikat soll dem Client belegen, dass er es mit dem richtigen Server zu tun hat. Wenn der RDS das Zertifikat des Exchange-Servers präsentiert, trifft das ja nicht zu. Es muss schon ein Zertifikat sein, das zu dem RDS-Server gehört.

 

Gruß, Nils

 

[chrismue 97]

vor 8 Minuten schrieb wicksupport:

Die gleiche .pfx Datei wurde importiert.

Und hast du es unter Bindungen auch ausgetauscht?

 

Gruß

chrismue

[wicksupport 10]

Hatte vergessen dazuzusagen, dass es ein wildcard-Zertifikat ist, das wir dafür nutzen. Es gibt kein spezielles Zertifikat für den RDS oder den Exchange extra.

vor 1 Minute schrieb chrismue:

Und hast du es unter Bindungen auch ausgetauscht?

 

Gruß

chrismue

Ja, bei der Default Web Site

[testperson 1.680]

Hi,

netsh http show sslcert

 

zeigt überall den Hash bzw. Thumbprint vom neuen Zertifikat?

 

Gruß

Jan

[wicksupport 10]

Ja, der Hashwert stimmt überein.

[wicksupport 10]

Ich habe noch folgendes getestet:

 

Aufruf über https://realerservername.domäne1.de > Aufruf von RD Sitzung aus angelegter Sammlung geht ohne Probleme

 

Aufruf über https://rds.domäne2.de > Aufruf von RD Sitzung aus angelegter Domäne gibt die Meldung "Ihre Sitzung wurde beendet, da der Remotecomputer ein unerwartetes Serverauthentifizierungszertifikat übermittelt hat. Wenden Sie sich an Ihren Administrator oder an den technischen Support." 

 

In den Bereitstellungseigenschaften ist bei Remotedesktopgateway unter Servername "rds.domäne2.de" angegeben. Das Wildcardzertifikat ist ausgestellt auf *.domäne2.de 

Der Eintrag rds.domäne2.de wird über einen CNAME Eintrag im DNS gesetzt und wird auch korrekt aufgelöst. Die gleiche Konfiguration lief bis das alte *.domäne2.de Zertifikat abgelaufen ist.

 

 

Gibt es hier noch Lösungsansätze?

[wicksupport 10]

Nach dem Eintragen von folgendem Schlüssel:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp]
"UseCachedCRLOnlyAndIgnoreRevocationUnkownErrors"=dword:00000001

 

ging der Aufruf der Seite wieder ohne Probleme.

[NilsK 2.939]

Moin,

 

kann man machen, ist aber ein sehr heikler Workaround. Effektiv weist du das System damit an, abgelaufene Zertifikatssperrlisten zu verwenden.  Kann man machen, wenn man weiß, was man tut. Ist aber vom Prinzip her natürlich nicht so vorgesehen, aus gutem Grund,

 

Gruß, Nils

 

[tesso 375]

Dann kann wohl die CRL nicht aufgelöst/geladen werden oder sie ist veraltet. 

bearbeitet 12. Juli 2022 von tesso