none
woher holt der Server das Zertifikat RRS feed

  • Frage

  • Hallo zusammen,

    seit Tagen recherchiere ich einem Problem hinterher und komme nicht weiter.

    Ich möchte von einem RDP Server Applikationen ausführen. Diese habe ich im Remote App Manager entsprechend konfiguriert. Für den Server wurde von unserer internen CA ein Server Zertifikat ausgestellt und im Remote App Manager unter Digital Signature Settings hinterlegt.
    Nun will ich die Applikation starten und jedes Mal bekomme ich einen Zertifikatsfehler angezeigt, der besagt, das das Zertifikat nicht vertrauenswürdig ist.
    Ein Blick auf das Zertifikat verrät mir, das er hier das Zertifikat nutzt, was er sich selber ausgestellt hat. Also nicht das von der CA.

    Darauf hin habe ich alle CA Stores (User und Computer) nach diesem Zertifikat durchsucht und entsprechend entfernt. Die Suche hat anschließend keine Kopie mehr gefunden.

    Nun frage ich mich, wo er das Zertifikat noch her holt.
    Im IIS ist nur das Zertifikat von der CA zu finden, welches wir für https einsetzen.

    Kann mir jemand einen Hinweis geben?

    PS: Es handelt sich hierbei um einen niegel nagel neuen frischen W2k8 R2.

    Donnerstag, 17. Februar 2011 14:32

Antworten

Alle Antworten

  • Mein Verdacht ist, das es hier am zugewiesenem Zertifikat für die Remote Apps liegt.

    Ich habe von meiner CA ein Serverzertifikat ausgestellt (Server 2008 Enterprise CA). Dieses Zertifikat nutze ich u.a. auch für https auf diesem Server.

    Muss ich denn für die Ausstellung eines Zertifikates für RDP was besonderes beachten?

    PS: Ich glaube, mein Beitrag gehört in den RDP Bereich. Könnte den bitte jemand verschieben?

    Freitag, 18. Februar 2011 06:59
  • Hi,

    für welchen Namen hast du das Zertifikat ausgestellt? (steht bei "Ausgestellt für")

    Wenn du hier den FQDN stehen hast, funktioniert das Zertifikat auch nur, wenn du die Verbindung mit dem FQDN aufbaust,
    also z.B. server.domain.local

    Freitag, 18. Februar 2011 07:51
  • Der Server arbeitet mit einem Aliasnamen um später flexibler zu sein.

    Demnach habe ich auch im Remote App Manager bei den Remote App Deployment Settings den Alias FQDN angegeben. Damit sollte der Server sich mit dem Alias Namen ausgeben. Oder habe ich da irgendwo vergessen einen Haken zu (de)aktivieren?

    Mein Ziel ist, das der Server sich nach aussen hin, NUR mit dem Alias zu erkennen gibt.

    Freitag, 18. Februar 2011 10:36
  • Hi ihr beiden,
     
    > für welchen Namen hast du das Zertifikat ausgestellt? (steht bei
    > "Ausgestellt für")
    >
    > Wenn du hier den FQDN stehen hast, funktioniert das Zertifikat auch nur,
    > wenn du die Verbindung mit dem FQDN aufbaust,
    > also z.B. server.domain.local
     
    Des Weiteren ist zu beachten, dass mittels X.509-Zertifikat nicht nur die
    "Remote Apps"-Applikationen signiert, sondern ggf. die RDP-Session über
    SSL/TLS sowie die Authentifizierung über ein vorgeschaltetes RDS-Gateway via
    SSL/443 verschlüsselt wird.
     
    Es gibt also mind. bis zu 3 Stellen, an dem das Zertifikat richtig
    eingerichtet werden muss.
     
    Alles weitere hier:
     
    Windows Server 2008 R2 - Remote Desktop Services
    http://technet.microsoft.com/en-us/library/ee891257.aspx
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Freitag, 18. Februar 2011 10:38
  • Das Problem ist, das ich an den besagten 2 von 3 Stellen das Zertifikat bekanntgemacht habe. Die dritte Stellen, das Gateway, haben wir nicht im Einsatz.

    Komischerweise, funktioniert nach einem Rebbot nichts mehr. Erst wieder das Zertifikat bekanntmachen, dann gehts.
    Laut Recherche sollte dafür ein Computerzertifikat von unserer Enterprise CA ausreichen.

    Dennoch bekomme ich beim starten der Applikation immer die Anzeige, das ein nicht vertrauenswürdiges Zertifikat benutzt wird. Schaue ich mir dieses an, stellt sich heraus, das es sich um das selbst ausgestellte Zertifikat handelt. Jedoch finde ich diesesn in keinem Store auf der Maschine.

    Dienstag, 22. Februar 2011 07:39
  • Im Tab "Digital Signature" auf dem RD-Session Host ist das richtige Zertifikat ausgewählt?
    Im Tab "RD Session Host Server" steht unter Server name: der Alias als FQDN?

    Wenn du dicht mittels mstsc auf dem Server anmeldest (über den Alias FQDN), und oben in der blauen Leiste auf das Schlüsselsymbol klickst, was wird dir hier angezeigt?
    Nur geprüft mittels Kerberos oder incl. Zertifikatsprüfung?

    Funktioniert das Zertifikat, wenn du es nicht auf einen Alias austellst, sondern auf den FQDN des Servers?

    Ggf. musst du noch einen SPN (Service Principal Name) für den Alias registrieren
    (im Computeraccount des RemoteApp Servers).

    Dienstag, 22. Februar 2011 09:23
  • Im Tab Digital Signature ist das richtige Zertifikat hinterlegt. Ebenso wie der passende FQDN Im Tab Session Host Server"

    Will ich aber eine RDP Verbindung aufbauen, sagt er mir, das das Zertifikat nicht vertrauenswürdig ist. Na klar., weil er nicht das Zertifikat von meiner CA nimmt, sonder sein selbst ausgestelltes.

    Und da weis ich nicht, woher er das nimmt und wo ich das konfigurieren kann. Installiere ich mir das Zertifikat, funktioniert alles wie gewünscht.
    Aber das möchte ich nicht.
    Dieses Zertifikat kann ich auf dem Server in keinem Store finden.

    Die Suche im Netz ergibt, das alle Anleitungen und Fragen in Foren auf selbst ausgestellte Zertifikate basieren. Ich weis nicht mehr, wo ich noch suchen soll.

    Dienstag, 22. Februar 2011 10:53
  • Ist das Zertifikat auch im Reiter "General" der RPD-Tcp Eigenschaften zugewiesen?

     

    Dienstag, 22. Februar 2011 13:48
  • Wo meinst Du?
    Dienstag, 22. Februar 2011 14:12
  • Gerade nochmal nachgesehen, laut MS-Doku:
    "The certificate name or the Subject Alternative Name must match the fully-qualified domain name of the server."

    http://technet.microsoft.com/en-us/library/dd772639(WS.10).aspx

    Gemeint war unter Start > Ausführen > %systemroot%\system32\tsconfig.msc

    • Als Antwort markiert Phantomias Dienstag, 22. Februar 2011 14:41
    Dienstag, 22. Februar 2011 14:21
  • Danke Matthias.

    Das war war die Ursache :)
    Dort war bei Certificate "Auto Generate" eingetragen, was mich eine Woche suchen nach der Nadel im Heuhaufen gekostet hat.

    Dienstag, 22. Februar 2011 14:32
  • Schön zu hören ;-)
    Dienstag, 22. Februar 2011 17:52
  • Hi <realname please>,
     
    >>> Ist das Zertifikat auch im Reiter "General" der RPD-Tcp Eigenschaften
    >>> zugewiesen?
    [..]
    >> Gemeint war unter Start > Ausführen > %systemroot%\system32\tsconfig.msc
    [..]
    > Das war war die Ursache :)
    > Dort war bei Certificate "Auto Generate" eingetragen, was mich eine Woche
    > suchen nach
    > der Nadel im Heuhaufen gekostet hat.
     
    das hättest Du auch schon vor 5 Tagen haben können:
     
    "Tobias Redelberger [MVP - SBS]" schrieb im Newsbeitrag
    news:3d94da65-c3e2-4780-a63a-577c4605c1b2...
    [18.02.2011 - 11:38 MEZ]
     
    Des Weiteren ist zu beachten, dass mittels X.509-Zertifikat nicht nur die
    "Remote Apps"-Applikationen signiert, sondern ggf. die RDP-Session über
    SSL/TLS sowie die Authentifizierung über ein vorgeschaltetes RDS-Gateway via
    SSL/443 verschlüsselt wird.
     
    Es gibt also mind. bis zu 3 Stellen, an dem das Zertifikat richtig
    eingerichtet werden muss.
     
    Alles weitere hier:
     
    Windows Server 2008 R2 - Remote Desktop Services
    http://technet.microsoft.com/en-us/library/ee891257.aspx
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Mittwoch, 23. Februar 2011 10:35