Jump to content

Zertifikat für RDS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich taste mich an das Thema Zertifikate näher ran, und spiele in meiner Test-Umgebung ein bissher rum...

Ich habe eine interne CA. Soweit gut.

Ich möchte für den RDS von der internen CA ein Zertifikat für den RD Connection Broker erstellen.

 

Mein RDS ist S01.lab.local, meine Collection ist RDS (rds.lab.local).

 

Natürlich ich verbinde mich mit rds.lab.local und möchte dass man RD Connection Broker das richtige Zertifikat hat -> jedoch wenn ich am S01 bin, bekomme ich immer Zertifikat mit "Issued To": s01.lab.local, wobei ich eigentlich rds.lab.local benötige. Ich hätte gedacht es reicht ja wenn man den CN Eintrag hinzufügt, ist aber offensichtlich nicht so.

 

Was muss ich beim Request tun, dass mein ausgestelltes Zertifikat für s01.lab.local auch für rds.lab.local gilt?

 

Danke

Link zu diesem Kommentar

Ein kleines Update:

Die Seite brachte mich auf den richtigen Pfad, aber die Anleitung funktionierte 1:1 leider nicht.

 

Ich musste das hier befolgen:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn781533(v=ws.11)

Spezifisch Punkte 7-9

Und das ist für Server 2016 auch nicht ganz korrekt.

Es heißt New -> Certificate Template to Issue, und dann muss man noch den CS-Dienst neustarten.

 

Dann konnte ich es über Autoenrollment machen, denn über Create Custom Request konnte ich nur die req-datei erstellen, und import dieser über certsrv-webseite funktionierte nicht, dort habe ich "Denied by Policy Module 0x80094802, The request specifies conflicting certificate templates" bekommen - was auch immer das genau bedeutet (vielleicht würde funktionieren nachdem ich die Punkte 7-9 gemacht habe).

 

Wie auch immer, die Sache funkt jetzt perfekt. Und mal wieder paar Sachen gelernt ;-)

 

Danke nochmals-

Link zu diesem Kommentar

Moin,

 

äh - aber per Autoenrollment bekommt doch das Zertifikat den Servernamen, keinen anpassbaren. Oder was genau ist da jetzt die Anforderung?

 

Die certsrv-Webseite ist Uralttechnik und kann nur sehr wenige Zertifikatstypen ausstellen. Im Regelfall sollte man die nicht mehr verwenden. Was manuelle Requests angeht:

 

[Windows-PKI: Computerzertifikat manuell anfordern | faq-o-matic.net]
https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/

 

Gruß, Nils

Link zu diesem Kommentar

Hi,

 

ich bin da jetzt ziemlich noch grün, aber ich denke dass wenn man eine neue Template erstellt (dupliziert), die man sich so anpasst wie man will (inkl. die Berechtigung für Auto-Enrollment), aber die Einstellung bei Subject Name auf Supply in the request ändert, greift die CN Einstellung beim Enrollment. Und dadurch wir auch mein Connection Broker Name (rds.lab.local) übernommen.

Mir wurde beim Auto-Enrollment dann eine zusätzliche Auswahl für meine duplizierte Template gegeben.

 

Ausgangsgrundlage sind ja die Zertifikat-Hinweise bei der RDP-Verbindung zum Server, und ich wollte statt dem Self-Signierten Zertifikat einen von der AD-CS ausstellen.

 

Danke für die Info vonwegen certsrv - und die Seite lese ich mir durch.

bearbeitet von kosta88
Link zu diesem Kommentar

Moin,

 

solche Zertifikatsvorlagen nie auf Autoenroll stellen. Du gibst damit die Kontrolle ab, wer ein Zertifikat für welchen Namen erhält. Effektiv hast du jetzt dafür gesorgt, dass jeder, der das Autoenroll-Recht hat, ein Zertifikat für einen beliebigen Computernamen anfordern kann, ohne dass dies geprüft wird. Das willst du nicht - Ruck-zuck hat jemand ein Zertifikat auf den Namen eures Mailservers für sich ausgestellt und kann sich als dieser ausgeben, ohne dass Clients eine Chance haben, das zu bemerken.

 

Gruß, Nils

PS: Es gibt schon Gründe, warum man eine PKI sorgfältig entwerfen sollte ...

Link zu diesem Kommentar

Moin,

 

du kannst das auch für eine passende Gruppe auf "Enroll" (nicht Autoenroll - der Unterschied ist die manuelle vs. automatische Genehmigung) setzen und den Assistenten nehmen. Wenn der mit der CA kommunizieren kann und die richtige Vorlage mit den richtigen Daten anfordert, braucht es ja nicht den Aufwand mit dem CSR. Wichtig ist vor allem, dass du solche Zertifikatsanforderungen immer prüfst und manuell freigibst, sonst kannst du dir den Zirkus gleich ganz sparen.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...