none
Windows Server 2012 RD Zertifikate RRS feed

  • Frage

  • Hallo,

    ich bin dabei eine Testinstallation für Server 2012 RDS (ehem. Terminalserver) über HTTPS via Internet zu erstellen und mir ist nicht klar, welche Zertifikate ich auf den Client installieren muss. An Zertifikaten verwende ich momentan nur selbsterstellte Zertifikate.

    Installiert ist auf einer Maschine ein Lizenzserver, auf einer anderen Maschine je ein Sitzungshost, Verbindungsbroker, Web-Access und ein Gateway. Bei der Gatewayinstallation wird ein Serverzertifikat erstellt. Selbiges habe ich per mmc exportiert und auf dem Client importiert, so wie man es unter W2k8R2 gemacht hat. Fragt sich nur, ob das OK ist?

    Dann habe ich noch ein weiteres Zertifikat für Verbindungsbroker, Web-Access und RD-GW erstellt. Muss dieses Zertifikat ebenfalls auf dem Client importiert werden? Jedenfalls habe ich es so gemacht.

    Beide Zertifikate haben den gleichen Namen - hier beginnt meine Confusion.(Man sieht, dass das erste Zertifiakt für Serverauthentifizierung und das zweite für Client und Serverauthentifizierung ist.)

    Ist diese Verfahrensweise korrekt?

    Danke

    Freitag, 24. Mai 2013 09:00

Antworten

  • >Von daher helfen mir die o.g. Links nicht wirklich weiter, da ich nicht verstehe, warum ich unter W2k12 zwei Zertifikate benötige und mir auch nicht 100% klar ist, ob beide Zertifikate den gleichen Namen haben müssen

    Woher willst Du das wissen, wenn Du diese nicht gelesen hast - z.B.:

    Microsoft Windows Server 2008 R2: Certificates Drive RDS Security
    http://technet.microsoft.com/en-us/magazine/hh921957.aspx

    [..]

    Here are some examples of how RDS uses certificates:       

    • RD Session Host servers use certificates to prove their identity. This is called server authentication.
    • RD Session Host servers and RD Virtualization Host servers use certificates to set up a secure link between client and server with TLS 1.0.
    • RD Session Host Servers use certificates for client authentication required for Network Level Authentication (NLA), Single Sign-On (SSO) and implementing Web SSO.
    • RD Session Host servers and RD Connection Broker both use an SSL certificate to sign RemoteApps and VM RDP files, assuring users they’re launching a trusted file.
    • RD Gateway servers use certificates to encrypt communications with clients using TLS 1.0.
    • You can secure the RD Web Access site with an SSL certificate to ensure that people are going to a trusted site (HTTPS).

    [..]

    Eines oder mehrere Zertifikate kann eines oder mehrere Aufgaben übernehmen.

    Bitte lies Dich erst mal in die Hintergründe ein, dann verstehst du auch die Zusammenhänge besser.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 27. Mai 2013 07:20
    • Als Antwort markiert Alex Pitulice Montag, 27. Mai 2013 11:13
    Freitag, 24. Mai 2013 14:53

Alle Antworten

  • Für eine produktive Umgebung nimmt man entweder eine eigene PKI (Achtung beim Design und Implementation der selbigen - Stichworte u.a.: CDP und AIA - alles weitere hier:http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx) und lässt dann das zugehörige Root Certificiate als Trusted Root Certificiate Authority automatisch an alle Domain Members verteilen oder via manuellen Import an NON-Domain Member.

    Oder für kleine Umgebungen empfiehlt sich Zertifikate einer 3rd-Party PKI zu verwenden.

    Nur in Testumgebungen ist Dein obiges Vorgehen ggf. zielführend.

    Weitere Hintergründe am Beispiel von Windows Server 2008 R2 (ähnlich wie für Windows Server 2012, jedoch ist mir kein aktuellerer Artikel dafür bekannt) u.a. hier:

    Microsoft Windows Server 2008 R2: Certificates Drive RDS Security
    http://technet.microsoft.com/en-us/magazine/hh921957.aspx

    Microsoft Windows Server 2008 R2: Certificates Drive RDS Security: Part Two
    http://technet.microsoft.com/en-us/magazine/hh987041.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Freitag, 24. Mai 2013 11:02
  • Hallo Tobias,

    danke für die Infos. Bei dem Szenario handelt es sich um eine temporäre Installation für 3 Monate, bei der Port 443 auch nur bei Bedarf freigeschaltet wird. Hier sollen selbsterstellte Zertifikate genügen.
    Von daher helfen mir die o.g. Links nicht wirklich weiter, da ich nicht verstehe, warum ich unter W2k12 zwei Zertifikate benötige und mir auch nicht 100% klar ist, ob beide Zertifikate den gleichen Namen haben müssen.

    Freitag, 24. Mai 2013 12:58
  • >Von daher helfen mir die o.g. Links nicht wirklich weiter, da ich nicht verstehe, warum ich unter W2k12 zwei Zertifikate benötige und mir auch nicht 100% klar ist, ob beide Zertifikate den gleichen Namen haben müssen

    Woher willst Du das wissen, wenn Du diese nicht gelesen hast - z.B.:

    Microsoft Windows Server 2008 R2: Certificates Drive RDS Security
    http://technet.microsoft.com/en-us/magazine/hh921957.aspx

    [..]

    Here are some examples of how RDS uses certificates:       

    • RD Session Host servers use certificates to prove their identity. This is called server authentication.
    • RD Session Host servers and RD Virtualization Host servers use certificates to set up a secure link between client and server with TLS 1.0.
    • RD Session Host Servers use certificates for client authentication required for Network Level Authentication (NLA), Single Sign-On (SSO) and implementing Web SSO.
    • RD Session Host servers and RD Connection Broker both use an SSL certificate to sign RemoteApps and VM RDP files, assuring users they’re launching a trusted file.
    • RD Gateway servers use certificates to encrypt communications with clients using TLS 1.0.
    • You can secure the RD Web Access site with an SSL certificate to ensure that people are going to a trusted site (HTTPS).

    [..]

    Eines oder mehrere Zertifikate kann eines oder mehrere Aufgaben übernehmen.

    Bitte lies Dich erst mal in die Hintergründe ein, dann verstehst du auch die Zusammenhänge besser.

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 27. Mai 2013 07:20
    • Als Antwort markiert Alex Pitulice Montag, 27. Mai 2013 11:13
    Freitag, 24. Mai 2013 14:53
  • die links habe ich natürlich überflogen.

    Die Antwort auf meine eigentliche Frage lautet:

    Das Zertifikate das man für die RD-Rollen erstellt hat, muss nicht zwingend importiert werden. Die Verbindung kommt auch so zu stande. Auf jeden Fall muss das Server-Zertifikat, welches bei der GW Installation erstellt automatisch erstellt wird, importiert werden. Sonst geht nichts bei default Registry-Einstellungen.

    Problematisch wird das ganze nur, wenn die interne AD-Domain anders heist als die externe Internet-Domain. Dann gibt es eine ganze Anzahl von Fallstricken. Letztendendes läuft aber alles via RDP und via Webapps und https per auf eine dyndns-Domain.

    Danke für die links

    Bleibt nur noch die Frage, ob die Zertifikate auch einen unterschiedlichen Namen haben dürfen, aber das ist mir jetzt wurscht, da alles läuft ;-).

    Freitag, 24. Mai 2013 18:45
  • Zertifikate müssen u.a. den oder die Namen tragen für den sie auch verwendet werden... da gibt es keine Wahlmöglichkeit, da sonst der Client ein Zertifikatsfehler meldet.

    Du darfst ja auch kein (an sich gültigen) Reisepass mit einem anderen Namen und Bild an der Grenze vorzeigen...

    P.S.: Siehste, geht doch... ;)

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Samstag, 25. Mai 2013 07:34
    • Als Antwort markiert Thoma Montag, 27. Mai 2013 10:30
    • Tag als Antwort aufgehoben Alex Pitulice Montag, 27. Mai 2013 11:14
    Montag, 27. Mai 2013 07:19
  • Hallo,

    sorry das ich mich so spät erst melde.

    Vielen Dank für die Hilfe.

    LG

    Dienstag, 2. Juli 2013 10:52