6
SSL Zertifikat bei geklontem Remote Session Host
Hallo zusammen
Ich habe hier eine Remote Desktop Farm im Aufbau (Windows Server 2012 R2).
Leider habe ich folgendes Problem:
- Ich habe ein SSL Zertifikat auf einem Sesion Host installiert und das funktioniert super (Zertifikat lautet auf *.kundenname.local).
- Wenn ich die Maschine mittels ESXi klone, funktioniert alles wie es soll, jedoch verwendet der Klon nicht das gewünschte SSL Zertifikat, sondern erstellt sich selber ein neues (welchem der Client natürlich nicht vertraut)
- Wenn ich auf dem Klon in den installierten Zertifikaten nachschaue (MMC), ist das Zertifikat immer noch installiert
- Wenn ich mittels PowerShell das Zertifikat wieder aktivieren will (Powershell Befehl: wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”<Fingerabdruck des Zertifikats>”) gibt es den Fehler "Der Parameter ist ungültig"
Das habe ich bereits versucht:
- Anstat ein Wildcard- ein SAN-Zertifikat erstellt (remote.kundenname.local & servername.kundenname.local)
- Das Zertifikat mittels GPO vom Session Host selber erstellen lassen (Resultat: Der SH erstellt ein gültiges Zertifikat, jedoch nur für sich selbst und nicht für remote.kundenname.local)
Leider kann ich nicht auf das Klonen verzichten.
Hat hier jemand eventuell eine Lösung für mein Problem?
Ich habe hier eine Remote Desktop Farm im Aufbau (Windows Server 2012 R2).
Leider habe ich folgendes Problem:
- Ich habe ein SSL Zertifikat auf einem Sesion Host installiert und das funktioniert super (Zertifikat lautet auf *.kundenname.local).
- Wenn ich die Maschine mittels ESXi klone, funktioniert alles wie es soll, jedoch verwendet der Klon nicht das gewünschte SSL Zertifikat, sondern erstellt sich selber ein neues (welchem der Client natürlich nicht vertraut)
- Wenn ich auf dem Klon in den installierten Zertifikaten nachschaue (MMC), ist das Zertifikat immer noch installiert
- Wenn ich mittels PowerShell das Zertifikat wieder aktivieren will (Powershell Befehl: wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”<Fingerabdruck des Zertifikats>”) gibt es den Fehler "Der Parameter ist ungültig"
Das habe ich bereits versucht:
- Anstat ein Wildcard- ein SAN-Zertifikat erstellt (remote.kundenname.local & servername.kundenname.local)
- Das Zertifikat mittels GPO vom Session Host selber erstellen lassen (Resultat: Der SH erstellt ein gültiges Zertifikat, jedoch nur für sich selbst und nicht für remote.kundenname.local)
Leider kann ich nicht auf das Klonen verzichten.
Hat hier jemand eventuell eine Lösung für mein Problem?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291593
Url: https://administrator.de/contentid/291593
Printed on: April 19, 2024 at 20:04 o'clock
6 Comments
Latest comment
Hi,
wie wäre es, statt das Zertifikat bereits im Master zu haben (Klone-Vorlage) besser das Zertifikat per GPO zu verteilen?
E.
wie wäre es, statt das Zertifikat bereits im Master zu haben (Klone-Vorlage) besser das Zertifikat per GPO zu verteilen?
E.
Hallo emeriks
Danke für deine Antwort
Den Gedanken hatte ich auch, allerdings gibt es da einige Probleme.
1. Es handelt sich um ein persönliches Zertifikat, das kann man nicht einfach verteilen (jedenfalls nicht nach meinem Wissen)
2. Es gibt eine GPO EInstellung, mit dem man den SH dazu bringen kann, sich beim DC selbstständig ein Zertifikat zu erstellen (Admin. Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit/Zertifikatsvorlage für Serverauthentifizierung). Das funktioniert hervorragend, aber der SH beantragt nur für seinen Namen das Zertifikat, obwohl er eigentlich ein SAN- oder Wildcard-Zertifikat benötigt.
Danke für deine Antwort
Den Gedanken hatte ich auch, allerdings gibt es da einige Probleme.
1. Es handelt sich um ein persönliches Zertifikat, das kann man nicht einfach verteilen (jedenfalls nicht nach meinem Wissen)
2. Es gibt eine GPO EInstellung, mit dem man den SH dazu bringen kann, sich beim DC selbstständig ein Zertifikat zu erstellen (Admin. Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit/Zertifikatsvorlage für Serverauthentifizierung). Das funktioniert hervorragend, aber der SH beantragt nur für seinen Namen das Zertifikat, obwohl er eigentlich ein SAN- oder Wildcard-Zertifikat benötigt.
Warum sollte man ein SSL Zertifikat nicht verteilen können?
https://technet.microsoft.com/en-us/library/cc731253(v=ws.10).aspx
https://technet.microsoft.com/en-us/library/cc731253(v=ws.10).aspx
Hallo emeriks
Du hast recht, ich habe mich vom Namen "öffentliche Zertifikate" verwirren lassen. Trotzdem bringt mich das nicht weiter, denn das Zertifikat muss unter "Eigene Zertifikate" abgelegt werden und nicht bei den Stammzertifizierungsstellen. Microsoft ist da leider sehr unflexibel.
Ich installiere das Zertifikat jetzt mittels Startup Script, da ist zwar nicht so schön aber es funktioniert wenigstens.
Du hast recht, ich habe mich vom Namen "öffentliche Zertifikate" verwirren lassen. Trotzdem bringt mich das nicht weiter, denn das Zertifikat muss unter "Eigene Zertifikate" abgelegt werden und nicht bei den Stammzertifizierungsstellen. Microsoft ist da leider sehr unflexibel.
Ich installiere das Zertifikat jetzt mittels Startup Script, da ist zwar nicht so schön aber es funktioniert wenigstens.
Hast Recht. Mein Fehler.
Ich installiere das Zertifikat jetzt mittels Startup Script, da ist zwar nicht so schön aber es funktioniert wenigstens.
Viele Wege führen nach Rumänien ...
Ich bin einfach nur froh, dass ich jetzt ein Problem weniger habe.
Vielen Dank emeriks, dass du dir Zeit genommen hast.
Vielen Dank emeriks, dass du dir Zeit genommen hast.
