djfflow
Goto Top

RDP Datei Signatur

Hallo,

Ich möchte gerne RDP Dateien nachträglich signieren.

Ich habe mir ein Zertifikat für CodeSignatur erstellt
Thumbprint           : 151F32AD4EE10FF1ECEF6DB10EE93766E31B1FAF
EnhancedKeyUsageList : {Codesignatur (1.3.6.1.5.5.7.3.3)}
Wenn ich nun mit rdpsign versuche die RDP datei zu signieren bekomme ich die Fehlermeldung
rdpsign /sha256 151F32AD4EE10FF1ECEF6DB10EE93766E31B1FAF .\RDS.rdp
Das angegebene Zertifikat kann nicht zum Signieren verwendet werden. Fehlercode: 0x80090016
Die RDP-Datei konnte nicht signiert werden. Fehlercode: 0x80090016

Was tue ich falsch?

Content-ID: 22940859387

Url: https://administrator.de/contentid/22940859387

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

11078840001
11078840001 29.02.2024 aktualisiert um 14:23:43 Uhr
Goto Top
  • Welche Extensions hat der Cert in keyUsage (nicht extendedKeyUsage)
  • Ist die CA des Certs dem Computer bereits vertrauenswürdig hinterlegt?
  • Ist die CA des Certs in den vertrauenswürdigen Herausgebern hinterlegt (Trusted Publishers)?
  • Hat das Cert wirklich einen private Key im Keystore? Bitte als PFX oder P12 inkl. private key importieren!
djfflow
djfflow 29.02.2024 um 15:46:08 Uhr
Goto Top
- Also ich habe mir in der Powershell ein selbstsigniertes Zertifikat erstellt mit folgendem Befehl
New-SelfSignedCertificate -DnsName rd.domain.de -CertStoreLocation cert:/localMachine  -KeyUsage DigitalSignature -KeySpec Signature -Type CodeSigningCert

- Da es ein selbst signiertes Zertifikat ist gibt es keine CA. Ich wollte erstmal testen welche Eigenschaften das Zertifikat haben muss bzw. ob das alles überhaupt so funktioniert und dann mich an unsere interne CA wenden, dass ich ein passendes Zertifikat bekommen.

- Ja es hat einen privaten Key im Keystore laut anzeige in der MMC.
11078840001
11078840001 29.02.2024 aktualisiert um 15:55:42 Uhr
Goto Top
Zitat von @djfflow:

- Also ich habe mir in der Powershell ein selbstsigniertes Zertifikat erstellt mit folgendem Befehl
New-SelfSignedCertificate -DnsName rd.domain.de -CertStoreLocation cert:/localMachine  -KeyUsage DigitalSignature -KeySpec Signature -Type CodeSigningCert

- Da es ein selbst signiertes Zertifikat ist gibt es keine CA.
Doch, das Zertifikat selbst ist dann immer die CA 😉. Dann muss das Zertifikat selbst in die Trusted Publishers bzw. die Root-Certificate Authorities des Systems! Ansonsten wird dem Cert nicht vertraut und rdpsign verweigert die Signatur mit dem Zertifikat.
djfflow
djfflow 29.02.2024 um 16:16:22 Uhr
Goto Top
Habe es nun zu den Vertrauenswürdigen Herausgebern und Vertrauenswürdige Stammzertifizierungsstellen hinzugefügt.
Fehlermeldung bleibt leider gleich.
11078840001
11078840001 29.02.2024 aktualisiert um 18:01:54 Uhr
Goto Top
  • Stimmt der CN des Certs evt. nicht mit dem Hostnamen in der RDP überein?
  • Auf was für einem System machst du das, OS, PS Version?
  • Welchen Inhalt hat die RDP Datei genau?

Klappt hier im Test like a charm sowohl auf einem Server 2022 als auch Windows 11.

screenshot

screenshot