siegmarb
Goto Top

Ignoriert Windows self-signed-Cert, wenn Teil eigener Domain?

Hi Leute,

ich habe hier das Phänomen, dass wenn ich (Win10) mich mit dem Terminalserver (Server 2019) per Hostname ("TS01.meinedomain.blablupp") verbinde, ich keine Zertifikatswarnung erhalte.

Verwende ich stattdessen die IP, erhalte ich eine Meldung, dass das Zertifikat selbst-signiert ist.

ACHTUNG: Es geht hier nicht darum, dass der Verbindungsname nicht zum Zertifikat passt.

Ich suche nun vergeblich die Einstellung/Setting wo ich Windows beibringe, dass es in allen Fällen Zertifikatswarnungen liefert, unabhängig davon, wie ich das Ziel anspreche.

Randnotiz: Ich möchte zeitnah den TS mit einem Zertifikat unserer PKI betanken, möchte vorher aber das merkwürdige Verhalten verstehen.

Danke.

Content-ID: 41269234123

Url: https://administrator.de/forum/ignoriert-windows-self-signed-cert-wenn-teil-eigener-domain-41269234123.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Th0mKa
Th0mKa 10.04.2024 um 11:13:16 Uhr
Goto Top
Na vermutlich hat der TS ein Zertifikat das zwar den Hostname aber nicht die IP beeinhaltet. Dann gibts bei der IP logischerweise ne Warnung und beim Hostname nicht.

/Thomas
siegmarb
siegmarb 10.04.2024 um 11:15:34 Uhr
Goto Top
Zitat von @Th0mKa:

Na vermutlich hat der TS ein Zertifikat das zwar den Hostname aber nicht die IP beeinhaltet. Dann gibts bei der IP logischerweise ne Warnung und beim Hostname nicht.

/Thomas

Es geht um den Umstand, dass in beiden Fällen ein selbst-signiertes Zertifikat im Einsatz ist, was Windows immer anmeckern sollte, egal wie ich mich mit dem Ziel verbinde. Nicht darum, ob der Server/VErbindungsname zum CN/SAN des Zertifikats passt.
StefanKittel
StefanKittel 10.04.2024 um 11:35:07 Uhr
Goto Top
Moin,
wer hat das Zertifikat denn ausgestellt?

Bei Zertifikaten gibt es nur 3 Dinge:
1. Passt das Zertifikat zur Anfrage (Host-mismatch und IP/Host-mismatch)
2. Vertraue ich dem CA der das Zertifikat ausgestellt hat
3. Ist das Zertifikat technisch korrekt und gültig.

Ich vermute bei Dir punkt 2.
Das Zertifikat wurde von irgendwas des AD ausgestellt und der PC vertraut dem.

Stefan
DerWoWusste
DerWoWusste 10.04.2024 aktualisiert um 11:38:53 Uhr
Goto Top
Mit einiger Sicherheit hast Du das selbstsignierte Zertifikat einst manuell auf "nicht mehr nachfragen" gesetzt. Teste es einmal mit einem neuen self-signed Zert.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.
Th0mKa
Th0mKa 10.04.2024 um 11:39:23 Uhr
Goto Top
Zitat von @siegmarb:
Es geht um den Umstand, dass in beiden Fällen ein selbst-signiertes Zertifikat im Einsatz ist, was Windows immer anmeckern sollte, egal wie ich mich mit dem Ziel verbinde. Nicht darum, ob der Server/VErbindungsname zum CN/SAN des Zertifikats passt.

Na der PC scheint dem Zertifikat ja zu vertrauen, also entweder wurde das auf dem PC mal installiert oder dort erstellt und befindet sich noch im Cert Store.
Die von dir gesuchten Einstellung gibt es jedenfalls nicht.

/Thomas
DerWoWusste
DerWoWusste 10.04.2024 um 11:46:24 Uhr
Goto Top
siegmarb
siegmarb 10.04.2024 um 11:53:18 Uhr
Goto Top
Zitat von @DerWoWusste:

Mit einiger Sicherheit hast Du das selbstsignierte Zertifikat einst manuell auf "nicht mehr nachfragen" gesetzt. Teste es einmal mit einem neuen self-signed Zert.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.

Leider nein. Ich teste mit neuen selbst-signierten Zertifikaten und habe auch in der registry geprüft, ob der Hashwert hinterlegt ist. Negativ.

Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers ist leer bzw. wurde gelöscht.
DerWoWusste
DerWoWusste 10.04.2024 um 11:54:29 Uhr
Goto Top
Setze die Policy, die ich verlinkt habe auf den strengsten oder zweitstrengsten Wert.
siegmarb
siegmarb 10.04.2024 um 11:54:50 Uhr
Goto Top
Zitat von @Th0mKa:
Na der PC scheint dem Zertifikat ja zu vertrauen, also entweder wurde das auf dem PC mal installiert oder dort erstellt und befindet sich noch im Cert Store.

So einfach ist es nicht. Ich habe ja die Vermutung im Betreff geäußert, dass Windows pauschal Zertifikatswarnungen ignoriert, wenn sich das Ziel in der eigenen Domäne befindet (Intranetzonenverhalten).
siegmarb
siegmarb 10.04.2024 um 11:57:39 Uhr
Goto Top

Danke. Sieht vielversprechend aus, ich teste das. Es bleibt für mich noch die Frage, wovon es Microsoft abhängig macht, ob es die Gegenstelle "authentifizieren" kann, nur weil ich das Ziel mit dem Namen, statt der IP anspreche.
DerWoWusste
Lösung DerWoWusste 10.04.2024 um 12:01:34 Uhr
Goto Top
Wenn Du ein Zertifikat benutzt, muss dem vertraut werden, das ist Möglichkeit eins. Wenn du keines benutzt, wird versucht, den Rechner über Kerberos zu authentifizieren (was nur über den namen geht), wenn das gelingt, kommst Du auch ohne Warnung rauf.
siegmarb
siegmarb 10.04.2024 um 12:06:14 Uhr
Goto Top
Zitat von @DerWoWusste:

Wenn Du ein Zertifikat benutzt, muss dem vertraut werden, das ist Möglichkeit eins. Wenn du keines benutzt, wird versucht, den Rechner über Kerberos zu authentifizieren (was nur über den namen geht), wenn das gelingt, kommst Du auch ohne Warnung rauf.

Danke, das ist stimmig. Ich bin dann der Meinung, selbstsignierte Zertifikate sind weniger problematisch, wenn hinten rum das Ziel über andere Mechanismen "authentifiziert" wird.

Danke nochmal, das war sehr hilfreich und lehrreich! face-smile