Jump to content
Sign in to follow this  
kosta88

Zertifikat für RDS

Recommended Posts

Hallo,

 

ich taste mich an das Thema Zertifikate näher ran, und spiele in meiner Test-Umgebung ein bissher rum...

Ich habe eine interne CA. Soweit gut.

Ich möchte für den RDS von der internen CA ein Zertifikat für den RD Connection Broker erstellen.

 

Mein RDS ist S01.lab.local, meine Collection ist RDS (rds.lab.local).

 

Natürlich ich verbinde mich mit rds.lab.local und möchte dass man RD Connection Broker das richtige Zertifikat hat -> jedoch wenn ich am S01 bin, bekomme ich immer Zertifikat mit "Issued To": s01.lab.local, wobei ich eigentlich rds.lab.local benötige. Ich hätte gedacht es reicht ja wenn man den CN Eintrag hinzufügt, ist aber offensichtlich nicht so.

 

Was muss ich beim Request tun, dass mein ausgestelltes Zertifikat für s01.lab.local auch für rds.lab.local gilt?

 

Danke

Share this post


Link to post
Share on other sites

Ein kleines Update:

Die Seite brachte mich auf den richtigen Pfad, aber die Anleitung funktionierte 1:1 leider nicht.

 

Ich musste das hier befolgen:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn781533(v=ws.11)

Spezifisch Punkte 7-9

Und das ist für Server 2016 auch nicht ganz korrekt.

Es heißt New -> Certificate Template to Issue, und dann muss man noch den CS-Dienst neustarten.

 

Dann konnte ich es über Autoenrollment machen, denn über Create Custom Request konnte ich nur die req-datei erstellen, und import dieser über certsrv-webseite funktionierte nicht, dort habe ich "Denied by Policy Module 0x80094802, The request specifies conflicting certificate templates" bekommen - was auch immer das genau bedeutet (vielleicht würde funktionieren nachdem ich die Punkte 7-9 gemacht habe).

 

Wie auch immer, die Sache funkt jetzt perfekt. Und mal wieder paar Sachen gelernt ;-)

 

Danke nochmals-

Share this post


Link to post
Share on other sites

Moin,

 

äh - aber per Autoenrollment bekommt doch das Zertifikat den Servernamen, keinen anpassbaren. Oder was genau ist da jetzt die Anforderung?

 

Die certsrv-Webseite ist Uralttechnik und kann nur sehr wenige Zertifikatstypen ausstellen. Im Regelfall sollte man die nicht mehr verwenden. Was manuelle Requests angeht:

 

[Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net]
https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Hi,

 

ich bin da jetzt ziemlich noch grün, aber ich denke dass wenn man eine neue Template erstellt (dupliziert), die man sich so anpasst wie man will (inkl. die Berechtigung für Auto-Enrollment), aber die Einstellung bei Subject Name auf Supply in the request ändert, greift die CN Einstellung beim Enrollment. Und dadurch wir auch mein Connection Broker Name (rds.lab.local) übernommen.

Mir wurde beim Auto-Enrollment dann eine zusätzliche Auswahl für meine duplizierte Template gegeben.

 

Ausgangsgrundlage sind ja die Zertifikat-Hinweise bei der RDP-Verbindung zum Server, und ich wollte statt dem Self-Signierten Zertifikat einen von der AD-CS ausstellen.

 

Danke für die Info vonwegen certsrv - und die Seite lese ich mir durch.

Edited by kosta88

Share this post


Link to post
Share on other sites

Moin,

 

solche Zertifikatsvorlagen nie auf Autoenroll stellen. Du gibst damit die Kontrolle ab, wer ein Zertifikat für welchen Namen erhält. Effektiv hast du jetzt dafür gesorgt, dass jeder, der das Autoenroll-Recht hat, ein Zertifikat für einen beliebigen Computernamen anfordern kann, ohne dass dies geprüft wird. Das willst du nicht - Ruck-zuck hat jemand ein Zertifikat auf den Namen eures Mailservers für sich ausgestellt und kann sich als dieser ausgeben, ohne dass Clients eine Chance haben, das zu bemerken.

 

Gruß, Nils

PS: Es gibt schon Gründe, warum man eine PKI sorgfältig entwerfen sollte ...

Share this post


Link to post
Share on other sites

Hi,

 

ah - verstehe. Nicht ganz sinnvoll. Das Auto-Enroll bereits entfernt...

 

Also wenn ich das richtig verstehe, ist deine Seite auf faq-o-matic der richtige Weg das manuell zu machen?

Edited by kosta88

Share this post


Link to post
Share on other sites

Moin,

 

du kannst das auch für eine passende Gruppe auf "Enroll" (nicht Autoenroll - der Unterschied ist die manuelle vs. automatische Genehmigung) setzen und den Assistenten nehmen. Wenn der mit der CA kommunizieren kann und die richtige Vorlage mit den richtigen Daten anfordert, braucht es ja nicht den Aufwand mit dem CSR. Wichtig ist vor allem, dass du solche Zertifikatsanforderungen immer prüfst und manuell freigibst, sonst kannst du dir den Zirkus gleich ganz sparen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Ja, genau in dieser Richtung habe ich heute schon überlegt. Ich konnte heute nicht mehr viel damit tun, aber sehe es mir dann eh an. Mal sehen wie weit ich komme. Ich hab auch paar Training Videos dazu...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...