10
Kann man mit OpenSSL ein Zertifikat zum signieren von RDP-Dateien erstellen?
Welche Eigenschaften muß ein Zertifikat haben, welches mit OpenSSL erstellt wurde, um RDP-Dateien zu signieren?
Wir haben eine Farm mit 2 Terminalservern (2008 R2). Soweit funktioniert alles, bis auf das Signieren der RemoteApps.
Wenn ich unter dem RemoteApp-Manager ein Zertifikat auswählen will, dann ist dort keins vorhanden.
Könnt ihr mir weiterhelfen?
Wir haben eine Farm mit 2 Terminalservern (2008 R2). Soweit funktioniert alles, bis auf das Signieren der RemoteApps.
Wenn ich unter dem RemoteApp-Manager ein Zertifikat auswählen will, dann ist dort keins vorhanden.
Könnt ihr mir weiterhelfen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164159
Url: https://administrator.de/contentid/164159
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
10 Kommentare
Neuester Kommentar
Du kannst doch im RemoteApp-Manager auf der Startseite eins festlegen, oder nicht? Oder scheitert es am Erstellen?
Auf der RemoteApp-Manager-Startseite gibt es den Punkt "Einstellungen für digitale Signatur Ändern" und dort könnte man dann ein Zertifikat hinterlegen, wenn denn eins angezeigt wird.
Also ich würde sagen es scheitert am Erstellen. Wir nutzten für unsere Serverzertifikate OpenSSL. Für Terminalserver Gateway und für die Web Access Seite wurde das Serverzertifikat, welches wir mit OpenSSL erstellt haben, akzeptiert. Doch leider funktioniert dies nicht zum signieren der Apps.
Also ich würde sagen es scheitert am Erstellen. Wir nutzten für unsere Serverzertifikate OpenSSL. Für Terminalserver Gateway und für die Web Access Seite wurde das Serverzertifikat, welches wir mit OpenSSL erstellt haben, akzeptiert. Doch leider funktioniert dies nicht zum signieren der Apps.
Ich hatte keine Probleme damit.
Aus der Hilfe:
Das Zertifikat, das ich nutze, hat meine CA auf dem DC erstellt und es hat die Zwecke
Proves your identity to a remote computer
Ensures the identity of a remote computer
Aus der Hilfe:
To configure the digital certificate to use
On the RD Session Host server, open RemoteApp Manager.
To open RemoteApp Manager, click Start, point to Administrative Tools, point to Remote Desktop Services, and then click RemoteApp > Manager.
In the Actions pane of RemoteApp Manager, click Digital Signature Settings. (Or, in the Overview pane, next to Digital Signature Settings, click Change.)
Select the Sign with a digital certificate check box.
In the Digital certificate details box, click Change.
In the Select Certificate dialog box, select the certificate that you want to use, and then click OK.
Note
The Select Certificate dialog box is populated by certificates that are located in the local computer's certificates store or in your personal certificate store. The certificate that you want to use must be located in one of these stores.
On the RD Session Host server, open RemoteApp Manager.
To open RemoteApp Manager, click Start, point to Administrative Tools, point to Remote Desktop Services, and then click RemoteApp > Manager.
In the Actions pane of RemoteApp Manager, click Digital Signature Settings. (Or, in the Overview pane, next to Digital Signature Settings, click Change.)
Select the Sign with a digital certificate check box.
In the Digital certificate details box, click Change.
In the Select Certificate dialog box, select the certificate that you want to use, and then click OK.
Note
The Select Certificate dialog box is populated by certificates that are located in the local computer's certificates store or in your personal certificate store. The certificate that you want to use must be located in one of these stores.
Das Zertifikat, das ich nutze, hat meine CA auf dem DC erstellt und es hat die Zwecke
Proves your identity to a remote computer
Ensures the identity of a remote computer
Wo man das Zertifikat hinterlegt ist mir schon klar, doch wie gesagt, es wird leider keins angezeigt, wleches ich auswählen könnte.
Als Zertifikatszweck habe ich "Garantiert die Identität eines Remotecomputers".
Was ist denn bei den Zertifikatdetails zusehen? Öffentlicher Schlüssel, Schlüsselverwendung, Erweiterte Schlüsselverwendung
Als Zertifikatszweck habe ich "Garantiert die Identität eines Remotecomputers".
Was ist denn bei den Zertifikatdetails zusehen? Öffentlicher Schlüssel, Schlüsselverwendung, Erweiterte Schlüsselverwendung
Dir fehlt einer meiner genannten Zwecke, vielleicht ist es da.
Bei Details steht:
Public Key: RSA (2048 Bits)
Schlüsselverwendung: Digitale Signatur, Schlüsselverschlüsselung (a0)
erw. Schl.verw.: Clientauthentifizierung (1.3.6.1.5.5.7.3.2) Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
Bei Details steht:
Public Key: RSA (2048 Bits)
Schlüsselverwendung: Digitale Signatur, Schlüsselverschlüsselung (a0)
erw. Schl.verw.: Clientauthentifizierung (1.3.6.1.5.5.7.3.2) Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
Ich habe mir jetzt nochmal ein Zertifikat mit den gleichen Eigenschaften erstellt, wie von dir beschrieben.
Wo hast du das Zertifikat auf dem Client hinterlegt? Ich bekomme nämlich noch eine Warnung beim Starten der RemoteApp.
Wo hast du das Zertifikat auf dem Client hinterlegt? Ich bekomme nämlich noch eine Warnung beim Starten der RemoteApp.
Wäre schön zu wissen, welche Warnung Du erhältst. Vermutlich liegt das Zert. richtig (ich habe es per GPO zugewiesen), nur der Fingerprint der RemoteApp muss vom User noch angenommen werden ->dies geht widerum nicht per GPO! Ich habe einen Workaround dazu gewählt und den Fingerprint als Regeintrag verteilt.
Edit zum Fingerprint: Geht doch! Siehe http://www.b4z.co.uk/
Create a new Group Policy object via the Group Policy Management Console.
2. Edit the GPO and navigate to the following location, User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
3. Within the Remote Desktop Connection Client folder double click the "Specify SHA1 thumbprints of certificates representing trusted .rdp publishers" group policy object and check the enabled radio button.
4. Now open the SSL certificate you are using for RemoteApp signing, click the Details tab and then scroll down the details pane until you see the "Thumbprint" item. Click the thumbprint entry and you should now see a large alphanumeric string, copy this string and paste the contents into the "Comma separated list of SHA1 trusted certificate thumbprints" box in the GPO we were editing in step 3.
5. Now that you have pasted the thumprint string into the GPO, remove all space and capitalise all lower case letters of the string. For example, if your thumprint looks like this, "95 1f 22 02 c3 6e a6 b0 64 0c db 8e b5 4a bb 98 0c bd ed af" once you have pasted it into the GPO, you need to modify it to read like this, "951F2202C36EA6B0640CBD8EB54ABB980CBDEDAF".
6. Close down the GPO editor and then link the created GPO to a users organisational unit where the RemoteApp users reside. Log a RemoteApp user off and back on again and test the RemoteApp program, you should now hopefully see that the certificate warning is suppressed and the application loads straight away.
PS: Großbuchstaben waren bei mir nicht nötig.
Ediths Edit zum Edit: Zu Deiner vorigen Frage: Pack das Zerti bei den Trusted publishers in der GPO rein.
Create a new Group Policy object via the Group Policy Management Console.
2. Edit the GPO and navigate to the following location, User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
3. Within the Remote Desktop Connection Client folder double click the "Specify SHA1 thumbprints of certificates representing trusted .rdp publishers" group policy object and check the enabled radio button.
4. Now open the SSL certificate you are using for RemoteApp signing, click the Details tab and then scroll down the details pane until you see the "Thumbprint" item. Click the thumbprint entry and you should now see a large alphanumeric string, copy this string and paste the contents into the "Comma separated list of SHA1 trusted certificate thumbprints" box in the GPO we were editing in step 3.
5. Now that you have pasted the thumprint string into the GPO, remove all space and capitalise all lower case letters of the string. For example, if your thumprint looks like this, "95 1f 22 02 c3 6e a6 b0 64 0c db 8e b5 4a bb 98 0c bd ed af" once you have pasted it into the GPO, you need to modify it to read like this, "951F2202C36EA6B0640CBD8EB54ABB980CBDEDAF".
6. Close down the GPO editor and then link the created GPO to a users organisational unit where the RemoteApp users reside. Log a RemoteApp user off and back on again and test the RemoteApp program, you should now hopefully see that the certificate warning is suppressed and the application loads straight away.
PS: Großbuchstaben waren bei mir nicht nötig.
Ediths Edit zum Edit: Zu Deiner vorigen Frage: Pack das Zerti bei den Trusted publishers in der GPO rein.
Es handelt sich um eine "Warnmeldung":
Von einer Website wird versucht, ein RemoteApp-Programm zu starten. Stellen Sie vor dem Ausführen des Programms sicher, dass Si
Durch dieses RemoteApp-Programm könnte der lokale oder der Remotecomputer beschädigt werden. Stellen Sie vor dem Herstellen der Verbindung zum Ausführen des Programms sicher, dass Sie dem Herausgeber vertrauen.
Als Herausgeber wird das Zertifikat der Farm mitgegeben. Das CA-Zertifikat ist in Vertrauenswürdige Zertifizierungsstellen hinterlegt und das der Farm habe ich in vertrauenswürdige Herausgeber gepackt.
Die Fingerprint-Geschichte teste ich morgen mal aus - Danke!
Von einer Website wird versucht, ein RemoteApp-Programm zu starten. Stellen Sie vor dem Ausführen des Programms sicher, dass Si
Durch dieses RemoteApp-Programm könnte der lokale oder der Remotecomputer beschädigt werden. Stellen Sie vor dem Herstellen der Verbindung zum Ausführen des Programms sicher, dass Sie dem Herausgeber vertrauen.
Als Herausgeber wird das Zertifikat der Farm mitgegeben. Das CA-Zertifikat ist in Vertrauenswürdige Zertifizierungsstellen hinterlegt und das der Farm habe ich in vertrauenswürdige Herausgeber gepackt.
Die Fingerprint-Geschichte teste ich morgen mal aus - Danke!
So... ich habe es ausprobiert. Ich habe den Fingerabdruck des Zertifikats wie beschrieben unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopverbindungs-Client\\SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen hinterlegt und siehe da, es funktioniert.
Toll Mission erfüllt. Vielen Dank an DerWoWusste!!!
Toll Mission erfüllt. Vielen Dank an DerWoWusste!!!
