ibicis 10 Geschrieben 5. Mai 2014 Melden Teilen Geschrieben 5. Mai 2014 Ich habe eine eigene CA auf einem DC installiert und ein Computerzertifikat für Serverauth. erzeugt und exportiert (Bild unbenannt1). Das Ziel der Zert.Benutzung ist eine Clientauth. auf einer TS-Farm, die Anleitung zur Erzeugung des Zertifikates entnahm ich hier und befolgte sie wie beschrieben: http://www.mcseboard.de/index.php?app=forums&module=post§ion=post&do=new_post&f=47 Nachdem ich auf allen Mitgliedern der Farm das Defaultzertifikat durch das durch mich erzeugte Zertifikat ersetzte und ein GPO zum Import des Zertifikates in die Vertrauenswürdigen Stammzert.Stellen durchführte (Anleitung: http://znil.net/index.php?title=Windows:Gruppenrichtlinen_-_Vertrauensw%C3%BCrdige_Zertifikate_/_Stammzertifikate_per_Gruppenrichtlinie_(GPO)_verteilen), bekommt jeder Client beim Anmelden die Fehlermeldung, dass die Zert.Stelle nicht vertrauenswürdig sei. Anbei Bilder über Details des Zertifikates und anderer Einstellungen. Im GPO werden 2 Zertifikate verteilt (Bild unbenannt3), weil das Zertifikat für die Terminalserverfarm oben beschriebene Fehlermeldung provoziert. Ich dachte, ich verteile das Stammzertifikat selbst auch mit, was aber keine Abhilfe brachte. Auf den Clients werden die beiden Zertifikate in den Speicher der vertrauenswürdigen Stamm-CAs importiert, dies habe ich überprüft. Was in jedem selbst erzeugten Zertifikat "Test-test" (Bild unbenannt2) auffällt ist der Fakt, dass das Zertifikat unterhalb der Zertifizierungsstelle "xxxxx-dc01-ca" angeordnet ist. Liegt der Fehler evtl. darin? Allerdings habe ich darauf beim Erzeugen des Zertifikates keinerlei Einfluss und momentan keine Ahnung, wo das Problem zu suchen ist. Vielen Dank für jede konstruktive Hilfe vorab. Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 5. Mai 2014 Melden Teilen Geschrieben 5. Mai 2014 K.a was DU das installiert hast. Wenn Du eine Echte CA installiert hast, werden die Root-Certs automatisch im AD veröffentlicht. Das lässt sich am Client dann mit "certutil -dump" abfragen. Zertifikate musst Du dann über diese CA anfordern und auch ausstellen. PS: Und auf einem DC würde ich auch nicht installieren. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. Mai 2014 Melden Teilen Geschrieben 5. Mai 2014 Schau mal hier http://blogs.technet.com/b/ptsblog/archive/2013/10/23/walkthrough-configuring-a-remote-desktop-services-lab-on-windows-azure-part-1.aspx und hier http://blogs.technet.com/b/ptsblog/archive/2013/10/23/walkthrough-configuring-a-remote-desktop-services-lab-on-windows-azure-part-2.aspx rein. Infos über die benötigten Zertifikate findest Du hier http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx und hier http://blogs.technet.com/b/askperf/archive/2014/01/24/certificate-requirements-for-windows-2008-r2-and-windows-2012-remote-desktop-services.aspx Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.