none
RDS und Zertifikate RRS feed

  • Frage

  • Hallo zusammen,

    ich habe hier testweise mal einen einzelnen W12K Server mit der RDS Rolle installiert.
    Der Server hat ein gültiges Computerzertifikat mit Remotedesktop und Server Authentication.

    Auf dem Server habe ich die RDS und RDWeb Access konfiguriert und ein paar Applikaitonen deployed.
    Wenn ich per RDWeb auf den Server connecte ist alles gut. Will ich jetzt noch die Anwendung starten, bekomme ich immer die Meldung das eine neicht vertrauenswürdige Anwendung versucht ... blablabla.

    Unter 2008R2 habe ich in den RDP Verbindungseinsellung das bereits imporierte Zertifikat ausgewählt und alles war gut.

    Unter 2012 finde ich nur den Punkt, das ich entweder ein neues erstellen oder ein vorhandenes auswählen kann. Das vorhandene muss jedoch als PFX Datei vorliegen.
    Das Problem ist, das ich das vorhandene nicht mit dem privaten Key exportieren kann.

    Kann ich das wo anders noch direkt aus dem Zertifikatsspeicher des Servers auswählen wie bei 2008R2?

    Viele Grüße

    Dienstag, 30. April 2013 14:02

Alle Antworten

  • Hi,

    Am 30.04.2013 16:02, schrieb Phantomias:

    Will ich jetzt noch die Anwendung starten,
    bekomme ich immer die Meldung das eine neicht vertrauenswürdige
    Anwendung versucht ... blablabla.

    Verteile den Fingerprint des Zertifikats:
    SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen
    Pfad für Einstellungen:
    Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopverbindungs-Client

    RDP Herausgeber "tickt" etwas anders, als Serverauthentication für SSL.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Alex Pitulice Freitag, 3. Mai 2013 07:43
    Dienstag, 30. April 2013 19:49
  • Vielen Dank für die Info.

    Ich werde mir das mit dem Fingerprint mal am Montag ansehen, wie das genau funktioniert und wie ich das dann umsetze.

    Leider hatte ich nur die Mailbenarichtigung dafür gesehen, abe rnicht den passenden Beitrag. Daher erst jetzt die späte Antwort.

    Samstag, 4. Mai 2013 20:32
  • Also das mit dem Fingerprint funktioniert, löst jedoch nicht mein Problem. Der administrative Aufwand zur Pflege ist einfach zu hoch.

    Gibt es den nicht mehr die Möglichkeit, ein schon implementiertes Zertifikat einfach auszuwählen ohne es vorher exportieren und dann wieder importieren zu müssen?

    Montag, 6. Mai 2013 07:00
  • Hi,

    Am 06.05.2013 09:00, schrieb Phantomias:

    Also das mit dem Fingerprint funktioniert, löst jedoch nicht mein
    Problem. Der administrative Aufwand zur Pflege ist einfach zu hoch.

    Doch, das löst dein Problem. Wo ist der Aufwand? Du hast "x" RDS Server, die eine RemoteApp bereitstellen. Du kopierst die Fingerprints in ein Notepad, ersetzt alle Leerzeichen durch "nichts" und kopierst das in der GPO. Fertig.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Montag, 6. Mai 2013 08:19
  • Nachtrag

    Am 06.05.2013 09:00, schrieb Phantomias:

    Gibt es den nicht mehr die Möglichkeit, ein schon implementiertes
    Zertifikat einfach auszuwählen ohne es vorher exportieren und dann
    wieder importieren zu müssen?

    Ja gibt es. Die Lösung heist PKI.

    Verwende Zertifikate aus deiner eigenen PKI und keine SelfSigned Certificates des RDS Servers.
    Da es selbstausgestellte Zertifikate PRO SERVER sind, sind so logischerweise auch eigenständig und einzelnt zu verwalten.
    Sie entstammen keinem gemeinsamen Ursprung. Deswegen muss auch JEDES Zertifikat angefasst werden.

    Noch was zum Administrativen Aufwand:
    Den Import, bzw. das auslesen der Fingerprints sollte man mit certutil in der CMD automatisieren können, bzw. mit der Powershell. Ebenfalls das entfernen der Leerzeichen, den String kannst du dann per Powershell und Set-GPRegistryValue in die GPO eintragen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Alex Pitulice Dienstag, 7. Mai 2013 07:53
    • Nicht als Antwort vorgeschlagen Alex Pitulice Dienstag, 7. Mai 2013 07:53
    Montag, 6. Mai 2013 08:25
  • Hallo Mark,

    vielen Dank für die schnelle Rückinfo.
    Wir haben eine PKI im Einsatz. Hatte ich vllt nicht direkt erwähnt.
    Von der PKI habe ich ein Zertifikat mit Server und RDP Authentication ausstellen lassen.

    Dieses Zertifikat wird jedoch nicht verwendet und generiert jedes Mal beim Start einer RemoteApp ein neues eigenes Zertifikat.

    Ich möchte aber gerne das von der PKI ausgestellte verwenden, welches ich aber nicht in der RDS Sessionhost Konfig auswählen kann.

    Hier kann ich nur ein PFX Zertifikat aus dem Filesystem auswählen. Das Zertifikat kann ich aber nicht mit dem Private Kiey exportieren. Das lässt unsere Firmenrichtlinie nicht zu.

    Montag, 6. Mai 2013 08:32
  • Ich habe nochmals alle Zertifikate aus dem RDP Speicher entfernt und das von unserer PKI hinzugefügt.
    Nach dem Starten einer RDP Session, wird kein neues eigenes Zertifikatmehr generiert.

    Jedoch kommt noch immer die Meldung das eine nicht vertrauenswürdige Anwendung versucht, ein RemoteApp-Programm auszuführen.

    Wie kann ich das noch abstellen?

    Montag, 6. Mai 2013 09:06
  • Zeig uns bitte einen Screenshoot der Fehlermeldung und des zugehörige Zertifikats auf einembetroffenen Client während das Problem auftritt.

    Analysiere des Weiteren auf dem betroffenen Client folgende Ausgabe "certutil_verifiy_urlfetch.txt" (dazu exportiere bitte das ausgewählte Zertifikat und transferier es auf den betroffenen Client):

    certutil -v -verify -urlfetch <PathandFilenameOfCertificate>.cer > C:\Temp\certutil_verifiy_urlfetch.txt

    S.a.: http://blogs.technet.com/b/instan/archive/2010/11/09/the-3-basic-principles-of-pki-troubleshooting.aspx

    Zugehörige Hintergrund-Information:

    As by Microsoft:

    The Certificates UI in 2012 is designed to deploy certificates to remote machines and add them to the correct store automatically.  It does not have a feature that will use a certificate that is already in the store, only a certificate that is already stored in the Connection Broker database.

    Source: http://blogs.technet.com/b/askperf/archive/2012/10/30/windows-8-windows-server-2012-remote-desktop-management-server.aspx

    From "Understand and Troubleshoot Remote Desktop Services in Windows Server "8" Beta"
    [..]

    Management Considerations

    Windows Server 2008 R2 brought many improvements to the Remote Desktop Services features that customers have been familiar with since Windows NT 4.0 Terminal Services Edition. The rich feature set that is now seen with Windows Server 2008 R2 comes with an increased management complexity, and Windows Server "8" Beta introduces a brand new management experience with the Remote Desktop Management Service and the Remote Desktop Plugin to Server Manager. Designed to make installation, configuration, and management of all Remote Desktop scenarios simpler and easier, RDMS also represents a significant change in the overall Remote Desktop management paradigm.

    RDS management tools used in previous version of Windows such as TSADMIN and TSCONFIG are no longer present in Windows Server "8" Beta, and management functions that administrators were used to performing with these tools are now accomplished by the new RDMS user interface. Along with the new management interface comes new definitions and terms that must be understood before an administrator can use RDMS to effectively manage their Remote Desktop deployment.


    [..]

    Remote Desktop Management Service

    Windows Server "8" Beta introduces the Remote Desktop Management Service and user interface, designed to not only simplify Remote Desktop administrative tasks but also provide a centralized management solution for all Remote Desktop Services role services and scenarios. Instead of using separate administrative tools for each role service installed, RDMS provides a single user interface that displays an overview of all of the servers in a Remote Desktop Services deployment as well as providing a management interface for every server in the deployment.

    When creating an RDS deployment in Windows Server "8" Beta, an administrator will run the Remote Desktop Services scenario based deployment wizard from Server Manager. During the process of creating a deployment a server must be chosen to have the RD Connection Broker role service installed, and this server becomes the RD Management Server for the deployment. A single RDMS server can manage multiple collection types, either Session Virtualization or Desktop Virtualization. Once the scenario based installation completes, regardless of which scenario was installed, a new RDMS server is not chosen for subsequent scenario based installations and the existing RDMS server is chosen automatically by the wizard.

    RDMS Basics

    The RDMS user interface is a plugin to the new Windows Server "8" Beta Server Manager and uses a discovery process to detect the role services installed on each machine that is added to the Server Manager pool. Once the role services are detected, RDMS will display a basic topology diagram of the deployment and information about each server in the deployment including service status, relevant events, performance information, and results of Best Practice Analyzers for each role service.

    Architecture

    The following diagram is an overview of the RDMS architecture:

    Figure 47: RDMS Architecture

    Windows Server 2012 RD Management Architecture


    [..]

    Certificate Management

    RDMS provides a new user interface to assist with the creation, deployment, and management of certificates that are used for Remote Desktop Services deployments. Certificates are used for server authentication, single sign on, and establishing secure connections. The RDMS certificate management features can be used to view and edit certificates across all role services in an RDS deployment.

    Certificates are typically deployed using an existing PKI infrastructure and group policy, or they can be manually created and deployed using the RDMS certificate management user interface.

    To create and manage certificates for RDS deployments, do the following:

    1. Open Server Manager and Click on the Remote Desktop Services node in the navigation pane.
    2. Click on Collections, and then in the Collections tile, click on the Tasks Menu and then click on Edit Deployment.
    3. Click on Certificates to Manage RDS Certificates. Each role service that can use certificates is displayed along with the current status of the selected role service and the certificate level. For a description of certificate levels, click on the link titled What is a certificate level?
    4. Click on a role service and then click Create new certificate to create a new self-signed certificate, or click on Select existing certificate to use a certificate that has been obtained from an internal Certificate Authority or installed by group policy.
    5. Selecting Create new certificate will open the New Certificate wizard to create a self-signed certificate. Enter the name of the server that users will connect to or use a wildcard for the domain (for example, *.contoso.com). Enter the password for the certificate and then select the checkbox Store this Certificate and provide a path to the .pfx file to allow the certificate to be manually distributed to clients. The certificate will be created with a private key and password and stored in the path specified.
    6. The modification state for the role service selected will change to Ready to apply. Click the Apply button and the Status should change to OK with a level of Trusted or Untrusted.

    Figure 27: Certificate Management

    Windows Server 2012 Certificate Management

    1. To deploy additional certificates, repeat steps 4-6 above for each role service or use the Select Existing button to use the same certificate for all role services.
    2. If the status of the certificate is Untrusted, manually deploy the certificate to all client machines that will access the RDS deployment. If the status of the certificate is Trusted, then no deployment to client machines should be necessary.


    [..]

    Source: http://www.microsoft.com/en-us/download/details.aspx?id=29006

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Montag, 6. Mai 2013 10:53
  • Hi,

    Am 06.05.2013 11:06, schrieb Phantomias:

    Jedoch kommt noch immer die Meldung das eine nicht vertrauenswürdige Anwendung versucht, ein RemoteApp-Programm auszuführen.
    Wie kann ich das noch abstellen?

    Das sollte mit dem Verteilen der Fingerprints und der genannten Richtlinie erledigt sein.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Montag, 6. Mai 2013 13:26
  • Hi,

    Das sollte mit dem Verteilen der Fingerprints und der genannten Richtlinie erledigt sein.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Ähm, wie ich schon schrieb, betrifft das alle Windows Server. Egal ob RDS oder nicht

    Ich möchte da nicht jeden einzelnen Fingerprint per GPO verteilen.

    Bisher habe ich noch keine Lösung gefunden, die mir die Warnmeldung entfernt. Immerhin nimmt er schonmal das eigenen Zertifikat aus der PKI.
    Warum das nicht vertrauenswürdig ist, weis ich auch nicht. Unsere CA steht als Vertrauenswürdige CA drin.

    Freitag, 10. Mai 2013 06:35
  • Hi

    Am 10.05.2013 08:35, schrieb Phantomias:

    Ich möchte da nicht jeden einzelnen Fingerprint per GPO verteilen.

    So leid es mir tut, aber ob du es möchtest oder nicht, ist überhaupt nicht Gegenstand der Diskussion.

    Der RDP Publisher ist wie der Trusted Publicher die relevante Instanz (end-entity). Für diese gibt es KEINE Vertrauenskette, im Sinne von: Der RootCA wird vertraut, also sind auch alle daraus folgendenden Zertifikate vertrauenswürdig.

    Bei einer SSL/Server Authentication reicht es die ROOT als Vertrauenswürdig zu deklarieren. Das wäre das was du möchtest, aber das ist im Falle der RemoteApps so nicht gelöst worden.

    RDP RemoteApp oder eben Trusted Publisher SIGNIEREN Anwendungen, sie leisten eine "Unterschrift". Das System oder der Entwickler, der im Besitz des PrivatKey ist, nutzen personalisierte Unterschirften/Zertifikate und stellen damit eine Einzelinstanz dar.

    Du vertraust nicht der "Firma", sondern der speziellen Person, die inhaltlich verantworlich ist. Dafür hat sie nämlich persönlich unterschrieben!

    Siehe Code-Signing Best Practices, Seite 30 ff:
    http://msdn.microsoft.com/de-de/library/windows/hardware/gg487309.aspx
    | Trusted Publisher [...]
    | The Trusted Publishers certificate store is different from the
    | Trusted Root Certification Authorities certificate store in that only
    | end-entity certificates can be trusted. In other words, adding a test
    | CA root certificate to the Trusted Publishers certificate store does
    | not configure all certificates that this CA issued as trusted. Each
    | certificate must be added separately.

    ... wichtig: der letzte Satz.

    Im Falle des RemoteDesktop Zertifikats Fingerprints ist es jetzt so, daß du das Zertifikat nicht wie ein SSL Zertifikat über die GUI der GPO integrieren/importieren kannst, da es die Stelle in der GUI unter "Richtlinien öfffentlicher Schlüssel" nicht gibt.

    Ich argumentiere mal anders:
    Es gibt einen Grund warum es die Fingerprint Policy gibt ...

    Die Lösung für "viele" Server habe ich dir genannt:
    Scripting.

    Die böse Lösung ist:
    Ein SAN Zertifkkate mit ALLEN Computernamen und das verteilst und verwendest du für alle RDP Server. Jetzt ist es ein Fingerprint für alle. Das PRoblem bei MS ist nur, das man den PrivateKey eines Computerzertifikats per Default nicht exportieren kann, den brauchst du aber.

    Hilfe bietet 3rd Party, zB:
    https://www.isecpartners.com/tools/application-security/jailbreak.aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Freitag, 10. Mai 2013 10:35
  • Am 10.05.2013 08:35, schrieb Phantomias:

    Bisher habe ich noch keine Lösung gefunden, die mir die Warnmeldung
    entfernt.

    Welche jetzt genau?
    -> "eine nicht vertrauenswürdige Anwendung versucht, ein RemoteApp-Programm auszuführen"

    Das ist Signatur Fingerprint, wie ich es schrieb und die sollte wie der Fehler es auch meldet nur beim Aufruf einer RemoteApp auftreten.

    "Normale" Serverzertifikate zur Serverauthentifizierung kannst du ganz einfach über die "Richtlinien öffentlicher Schlüssel" verteilen.
    Public Key der RootCA in die Trusted Root Certificates und fertig.
    Wenn alle Zertifikate dieser Root entspringen.

    Wenn die PKI AD integriert ist, wird das Root Zertifikat automatsich durch Domänenbeitritt an alle verteilt (wenn man das nicht per GO verhindert hat).

    -> Konfiguration Richtlinien öffentlicher Schlüssel
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter

    Samstag, 11. Mai 2013 09:22