Kraftzwerg 10 Geschrieben 2. Mai 2011 Melden Teilen Geschrieben 2. Mai 2011 Hallo zusammen, ich habe bereits die SuFu benutzt, aber meine Frage konnte nicht beantwortet werden. Vll liegt das aber auch an mir. Folgende Situation: mehrere Terminalserver mit Win2008R1 x64. Zusammengefasst zu einer TS-Farm inkl. NLB-Cluster. Nun das bekannte Problem. Wenn man sich am Cluster anmeldet, bekommt man einen Zertifikatfehler, da das ausgestellte Zertifikat nicht mit dem Namen des Clusters übereinstimmt. Aus diesem Grund haben wir über eine Zertifizierungsstelle (soll auch von außen, pber die Domänengrenze hinaus erreichbar sein) ein SAN-Zertifikat beantragt. Nun haben wir ein .crt-file erhalten, welches ich testweise am ersten TS manuell in den lokalen Zertifikatsspeicher importiert habe. Leider kann ich das Zertifikat in den Eigenschaften des RDP in der Terminalservices-configuration nicht auswählen. Feld ist weiterhin leer. Bei unseren Tests hatten wir bislang auch .pfx-files (also mit Key) in den lokalen Zertifikatsspeicher importiert. Diese Zertifikate waren dann auswählbar. Hat jemand einen Hinweis für mich? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. Mai 2011 Melden Teilen Geschrieben 3. Mai 2011 Aus diesem Grund haben wir über eine Zertifizierungsstelle (soll auch von außen, pber die Domänengrenze hinaus erreichbar sein) ein SAN-Zertifikat beantragt. Was ist ein SAN Zertifikat? :confused: Nun haben wir ein .crt-file erhalten, welches ich testweise am ersten TS manuell in den lokalen Zertifikatsspeicher importiert habe.Leider kann ich das Zertifikat in den Eigenschaften des RDP in der Terminalservices-configuration nicht auswählen. Feld ist weiterhin leer. Hast Du das Zertifikat auf dem Server installiert, der die Anforderung erstellt und somit den privaten Schlüssel hat? Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 3. Mai 2011 Autor Melden Teilen Geschrieben 3. Mai 2011 Guten Morgen, uns wurde es als SAN-Zertifikat "verkauft". Ist ein SSL Zertifikat. Es enthält neben dem Commonname noch die Namen aller TS und des NLB-Clusters. Das mit dem ausstellenden Server ist ein guter Hinweis. Wir haben den Zertifikatsrequest nämlich am Exchange erstellt. Aber auch dort hat der Import nicht das gewünschte Ergebnis gebracht. Ich habe nun beim Anbieter nachgefragt und mir wurde nahegelegt den Schlüssel neu zu erstellen. Sobald ich Zeit dazu habe, werde ich es versuchen. Melde mich mit dem Ergebnis. Wenn jemand einen anderen Ansatz hat, bin ich sehr interessiert;) Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 3. Mai 2011 Melden Teilen Geschrieben 3. Mai 2011 Was ist ein SAN Zertifikat? :confused: Ein Zertifikat mit Subject Alternative Names. ;) Auch als Alternative ANtragsteller bekannt. Bye Norbert Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 6. Mai 2011 Autor Melden Teilen Geschrieben 6. Mai 2011 So, haben die Sache jetzt gelöst. Zumindest den ordnungsgemäßen Import. Unser Fehler war, dass wir den offenen Request am Exchange-Server (dort haben wir ihn ja über Powershell erstellt) gelöscht hatten. Dachten, dass er am Exchange ja nicht mehr benötigt würde und nur stört. Da aber dieser offene Request den pirvaten Schlüssel enthält konnte ohne ihn der Import nicht abgeschlossen werden. Haben den gleichen Request erneut ausgeführt, beim Zertifikatsaussteller ein Re-Key durchgführt und den Request ordnungsgemäß beendet. Anschließend das Zertifikat inkl. Key am Exchange exportiert und an den TS in den lokalen Speicher importiert. Nun kann man es in den RDP-Settings anwählen. Aktuell besteht leider noch folgender Fehler: Bei der Anmeldung an der TS-Farm über RDP kommt die Meldung "Es konnte keine Sperrpüfung für das Zertifikat durchgeführt werden" Ist das schon mal wem untergekommen? Bei uns kennt sich keiner so recht mit dem Zertifikatsthema aus, daher läuft es etwas holprig. Bitte um Entschuldigung, wenn das hier Zertifikats-Grundwissen ist;) Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.