Jump to content

RDP Zugriff - trotz self signed Zertifikat keine Zertifikatsmeldung


Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

irgendwie stehe ich gerade auf dem Schlauch und hoffe mir kann jemand helfen :)

 

Wir haben zwar eine eigene interne PKI und hier auch schon ein Template für die RDP Zertifikate erstellt, aber aktuell haben wir für die RDP Zugriffe noch keine Zertifikate verteilt/konfiguriert. Es ist also nur das self signed Zertifikat auf den jeweiligen Server vorhanden.

Nun würde ich erwarten, dass bei einem RDP Zugriff auf einen Server die bekannte Zertifikatsmeldung erscheint. Das tut es aber nicht. Ich kann mich einfach verbinden. 

Verbinde ich mich über die IP, kommt die Meldung und es wird das self signed Zertifikat erwähnt.

 

Nun habe ich die Info gefunden, dass (falls man bei der Zertifikatsmeldung "nicht noch mal Fragen" angehakt hat) der Hash Wert vom Zertifikat dann im RegKey HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers gespeichert wird. Das habe ich geprüft, dort steht aber nichts drin.

 

Mich wundert nun, warum aktuell die Meldung bei uns nicht erscheint, wenn wir per DNS Name uns auf die Server per RDP schalten.

Hat jemand eine Idee woran das liegen kann? Kann man das irgendwo deaktivieren oder verstehe ich hier irgendwas falsch? ich habe auch schon das RemoteDesktop self signed Zertifikat auf einem Server gelöscht und neu erstellen lassen. Zugriff geht weiterhin ohne Zertifikatsmeldung.

 

Vielen Dank.

Grüße

Link zu diesem Kommentar

Hi Evgenij,

 

danke für den Tip.

Das heißt also wenn der RegKey AuthenticationLevelOverride mit dem Wert 0 besteht, kommt die Meldung nicht, richtig?

Aber der Key AuthenticationLevelOverride ist nicht vorhanden, somit sollte die Meldung doch erscheinen. Vor allem erscheint Sie auch, wenn ich per IP die RDP Verbindung aufrufe.

Nur per DNS Name wird die Warnung nicht angezeigt.

Nun kann man natürlich sagen, ist doch gut - aber ich würde gerne wissen warum Sie nicht angezeigt wird :)

Wir wollen dann die Zertifikate für die RDP Verbindung verteilen und so könnte ich gar nicht sehen ob jetzt das korrekte Zertifikat genommen wird, da die Meldung ja so oder so nicht erscheint.

Link zu diesem Kommentar

Es wird nicht gesagt das der Name nicht stimmt, sondern das dem Zertifikat nicht vertraut wird, da die Root CA nicht in den trusted root certificates vorkommt (was ja auch korrekt ist), wenn ich mich per IP verbinde, sehe ich , dass es vom Server selber für sich ausgestellt ist. 

Auch der Zertifizierungspfad stimmt nicht und ist self signed.

 

Ich könnte jetzt natürlich die Zertifikate für das RDP aktivieren und dann so prüfen ob das richtige Zertifikat gezogen wird.

Aber das erklärt dann trotzdem noch nicht warum ich keine Meldung beim self signed Zertifikat per DNS Namen erhalte :(

 

Aber wenn per IP dann das richtige Zertifikat (das von unserer PKI) gezogen wird, müsste es beim DNS Namen ja auch verwendet werden, oder?

image.png.6545949bef50553b55a03b70517fc8cc.png image.png.d27b633b20ee9415ad9c05730959adee.png

bearbeitet von phatair
Link zu diesem Kommentar

Hi Evgenij,

 

die Frage ist vielleicht etwas peinlich, aber wie kann ich das prüfen?

Bei uns ist RDP nur mit "Network Level Authentication" aktiviert, aber das hat ja erstmal nix mit Kerberos zu tun. 

Das was ich jetzt gefunden habe, scheint es ja nicht "out of the box" mit Kerberos abgesichert zu sein, daher würde ich jetzt bei uns mal sagen - das ist nicht der Fall.

Link zu diesem Kommentar
vor 1 Minute schrieb NorbertFe:

Man startet Mstsc, verbindet sich zum Server und klickt dann im blauen Band oben auf das Schloss. ;)

Danke - das war einfach :)

 

Am 26.5.2023 um 16:11 schrieb cj_berlin:

Könnte es sein, dass die Verbindung über FQDN einfach per Kerberos abgesichert ist, und die Zertifikate keine Rolle spielen?

Dann ist es bei uns tatsächlich über Kerberos abgesichert

image.png.ffd77e8b00450a36180586b8237293b1.png

 

Dann muss ich hier mal noch etwas Suchen, damit ich das verstehe. Scheint dann ja doch "out of the Box" zu funktionieren, da ich nicht wüsste das hier bei uns etwas in der Richtung konfiguriert wurde.

 

Dann erklärt es aber das Verhalten. Danke!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...