none
Zertifikat für RDP-Gatewayserver RRS feed

  • Frage

  • Hallo,

    wir haben hier einen SBS2011 und an einem anderen Standort einen Server 2012 R2. Beide Server sind Domänencontroller.

    Auf dem SBS ist das RDP-Gateway konfiguriert (mit selbstsigniertem Zertifikat, alles default wie bei der Erstinstallation angelegt. Das RDP-Gatewayzertifikat ist also mit dem selbstsignierten Rootzertifkat des SBS signiert). Nun soll im anderen Standort (in einem anderen Land, geographisch weit entfernt) ebenso ein RDP-Gateway in Betrieb genommen werden damit  die dortigen Heimarbeiter an ihre Arbeitsplatzrechner kommen.

    Der SBS hat den DNS: sbs.meinefirma.local und ebenso meinland.meinefirma.com.

    Der Server2012R2 hat die DNS: server2012.meinefirma.local und der RDP-Gateway ist per portforwarding aus dem Inet unter der DNS: anderesland.meinefoirma.com erreichbar.

    Die Heimarbeiter haben alle das SBS-Zertifkat auf ihren Heimrechnern installiert.

    Soweit, so gut. Auf dem Server2012R2 ist nun ebenfalls ein selbstsigniertes Zertifikat installiert. Das hat den großen Nachteil dass die User jetzt noch ein weiteres Zertifikat installieren müssen und der Namen des Zertifkats auf server2012.meinefirma.local verweist und nicht auf andersland.meinefirma.com.

    Wie kann ich nun ein Zertifkat für den Server2012 erstellen welches auf andersland.meinefirma.com verweist und mit dem Root-Zertifkat des SBS signiert ist so dass die Heimarbeiter kein weiteres Root-Zertifkkat installieren müssen?

    Vielen Dank schon mal für eure Hilfe.

    Gruß

    Martin

    Dienstag, 5. Mai 2015 14:20

Antworten

  • Moin,

    recht einfach geht es über die IIS Verwaltungskonsole.

    Unter dem Serverknoten den Punkt 'Serverzertifikate' wählen, im Aktionsbereich 'Domänenzertifikat' klicken, den Dialog ausfüllen (bei gemeinsamer Name den externen DNS Namen).

    Zertifizierungsstelle wählen (da sollte die CA auf dem SBS zur Wahl stehen), einen Anzeigenamen definieren (bspw. RD-Gateway), Fertigstellen

    Jetzt sollte das Zertifikat angefordert und auch automatisch ausgestellt werden.

    Nun noch das Zertifikat in der RD Gateway Verwaltung wählen - Fertig


    This posting is provided AS IS with no warranties.

    • Als Antwort markiert MaFrei Mittwoch, 6. Mai 2015 08:53
    Dienstag, 5. Mai 2015 16:17

Alle Antworten

  • Moin,

    recht einfach geht es über die IIS Verwaltungskonsole.

    Unter dem Serverknoten den Punkt 'Serverzertifikate' wählen, im Aktionsbereich 'Domänenzertifikat' klicken, den Dialog ausfüllen (bei gemeinsamer Name den externen DNS Namen).

    Zertifizierungsstelle wählen (da sollte die CA auf dem SBS zur Wahl stehen), einen Anzeigenamen definieren (bspw. RD-Gateway), Fertigstellen

    Jetzt sollte das Zertifikat angefordert und auch automatisch ausgestellt werden.

    Nun noch das Zertifikat in der RD Gateway Verwaltung wählen - Fertig


    This posting is provided AS IS with no warranties.

    • Als Antwort markiert MaFrei Mittwoch, 6. Mai 2015 08:53
    Dienstag, 5. Mai 2015 16:17
  • Vielen Dank, das hat geklappt.

    Ich hatte gedacht das Zertifikat würde ich über die Zertifikatsverwaltung (mein Computer) irgendwie anfordern können, was aber nicht klappte. Dass der entsprechende Punkt unter IIS-Verwaltung zu finden ist, darauf wäre ich nicht gekommen.

    Mittwoch, 6. Mai 2015 08:53
  • Hi,
     
    Am 06.05.2015 10:53, schrieb MaFrei:
    > Ich hatte gedacht das Zertifikat würde ich über die
    > Zertifikatsverwaltung (mein Computer) irgendwie anfordern können,
     
    Das geht auch, der Weg ist eigentlich derselbe. Denn sowohl deine IIS
    Konsole als auch das Zertifikats-SnapIn der MMC fragt dieselbe Instanz
    über eine identische Technick.
     
    MMC -> SnapIn Zertifikate computer -> Eigene Zertifikate -> rechte
    Maustaste -> neu anfordern und dem Assistenten folgen.
     
    Die Anfrage kannst du dann noch anpassen und beide Namen intern/extern
    als DNS Feld eintragen. Dann ist es für beide gültig.
    Alternativ nutzt MS in dieser Situation gerne "Split-DNS", d.h. das
    Zertifikat wird nur für den externen Namen ausgestellt und der externe
    Hostname wird als DNS Zone im AD eigenen DNS eingerichtet und verweist
    mit dem Eintrag auf die interne IP des Servers.
     
    Die internen Clients sprechen jetzt auch den externen Namen an, werden
    aber über den DNS auf einen internen Rechner verwiesen.
     
    So eine Zone solltest du schon für deinen Exchange im DNS vorfinden,
    wenn du ihn per Assistent eingerichtet hast.
    (das war jedenfalls beim SBS 2008 noch so ...)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 6. Mai 2015 13:45