Ignoriert Windows self-signed-Cert, wenn Teil eigener Domain?
Hi Leute,
ich habe hier das Phänomen, dass wenn ich (Win10) mich mit dem Terminalserver (Server 2019) per Hostname ("TS01.meinedomain.blablupp") verbinde, ich keine Zertifikatswarnung erhalte.
Verwende ich stattdessen die IP, erhalte ich eine Meldung, dass das Zertifikat selbst-signiert ist.
ACHTUNG: Es geht hier nicht darum, dass der Verbindungsname nicht zum Zertifikat passt.
Ich suche nun vergeblich die Einstellung/Setting wo ich Windows beibringe, dass es in allen Fällen Zertifikatswarnungen liefert, unabhängig davon, wie ich das Ziel anspreche.
Randnotiz: Ich möchte zeitnah den TS mit einem Zertifikat unserer PKI betanken, möchte vorher aber das merkwürdige Verhalten verstehen.
Danke.
ich habe hier das Phänomen, dass wenn ich (Win10) mich mit dem Terminalserver (Server 2019) per Hostname ("TS01.meinedomain.blablupp") verbinde, ich keine Zertifikatswarnung erhalte.
Verwende ich stattdessen die IP, erhalte ich eine Meldung, dass das Zertifikat selbst-signiert ist.
ACHTUNG: Es geht hier nicht darum, dass der Verbindungsname nicht zum Zertifikat passt.
Ich suche nun vergeblich die Einstellung/Setting wo ich Windows beibringe, dass es in allen Fällen Zertifikatswarnungen liefert, unabhängig davon, wie ich das Ziel anspreche.
Randnotiz: Ich möchte zeitnah den TS mit einem Zertifikat unserer PKI betanken, möchte vorher aber das merkwürdige Verhalten verstehen.
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41269234123
Url: https://administrator.de/forum/ignoriert-windows-self-signed-cert-wenn-teil-eigener-domain-41269234123.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
wer hat das Zertifikat denn ausgestellt?
Bei Zertifikaten gibt es nur 3 Dinge:
1. Passt das Zertifikat zur Anfrage (Host-mismatch und IP/Host-mismatch)
2. Vertraue ich dem CA der das Zertifikat ausgestellt hat
3. Ist das Zertifikat technisch korrekt und gültig.
Ich vermute bei Dir punkt 2.
Das Zertifikat wurde von irgendwas des AD ausgestellt und der PC vertraut dem.
Stefan
wer hat das Zertifikat denn ausgestellt?
Bei Zertifikaten gibt es nur 3 Dinge:
1. Passt das Zertifikat zur Anfrage (Host-mismatch und IP/Host-mismatch)
2. Vertraue ich dem CA der das Zertifikat ausgestellt hat
3. Ist das Zertifikat technisch korrekt und gültig.
Ich vermute bei Dir punkt 2.
Das Zertifikat wurde von irgendwas des AD ausgestellt und der PC vertraut dem.
Stefan
Mit einiger Sicherheit hast Du das selbstsignierte Zertifikat einst manuell auf "nicht mehr nachfragen" gesetzt. Teste es einmal mit einem neuen self-signed Zert.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.
Zitat von @siegmarb:
Es geht um den Umstand, dass in beiden Fällen ein selbst-signiertes Zertifikat im Einsatz ist, was Windows immer anmeckern sollte, egal wie ich mich mit dem Ziel verbinde. Nicht darum, ob der Server/VErbindungsname zum CN/SAN des Zertifikats passt.
Es geht um den Umstand, dass in beiden Fällen ein selbst-signiertes Zertifikat im Einsatz ist, was Windows immer anmeckern sollte, egal wie ich mich mit dem Ziel verbinde. Nicht darum, ob der Server/VErbindungsname zum CN/SAN des Zertifikats passt.
Na der PC scheint dem Zertifikat ja zu vertrauen, also entweder wurde das auf dem PC mal installiert oder dort erstellt und befindet sich noch im Cert Store.
Die von dir gesuchten Einstellung gibt es jedenfalls nicht.
/Thomas
Die Einstellung gibt es, doch: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...