kangaroojack
Goto Top

RDP - Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden

Moin Leute,

wir betreiben eine RDS Farm auf Basis Server 2016, alles redundant aufgebaut (2x Webportal, 2x Broker, 2x Gateway)

Melde ich mich auf dem Webportal von außerhalb unseres Netzwerkes an und starte eine Anwendung - läuft alles ohne Probleme.

Tue ich das jedoch aus dem Firmennetzwerk heraus, erhalte ich die Meldung:
"Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden".

zertifikat


Witzigerweise gibt es hier einen "Blinkereffekt" - 1x kommt die Meldung. Klicke ich dann auf "Nein" - also Verbindung nicht herstellen und starte die Anwendung nochmal, kommt die Meldung seltsamerweise nicht mehr.
Breche ich den Start ab und starte die Anwendung nochmal, kommt wieder die Meldung.
Dieses Verhalten ist immer so und reproduzierbar.

Die Sperrliste liegt bei dem Anbieter im Internet und kann problemlos vom Client runtergeladen werden, auch mehrfach hintereinander versucht. Der Download mittels Browser gelingt immer!

In einem anderen Thread stand, man soll das Zertifikat prüfen mit:
certutil -verify -urlfetch test.cer
Dieser Test wird erfolgreich abgeschlossen.

Jemand eine Idee, was hier faul sein könnte?
THX.

VG
KangarooJack

Content-ID: 6764250527

Url: https://administrator.de/forum/rdp-es-konnte-keine-sperrpruefung-fuer-das-zertifikat-durchgefuehrt-werden-6764250527.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Mr-Gustav
Mr-Gustav 14.04.2023 um 08:47:58 Uhr
Goto Top
Habt Ihr das selbe Cert auch für die RDWeb Seite genommen ?
Kommt da auch die Meldung dass das Zertifikat irgendwelche Probleme hat. Wir alle kennen ja die klassische "Halt diese Webseite ist nicht sicher....... )
Wenn du sagst das der Client die Sperrliste ziehen kann ist die Frage ob der Server das auch kann ?
Es gibt ja einen Unterschied zwischen EXT und INT.
Habt ihr einen Web Proxy dazwischen der da ggf. reinhauen könnte ?
Spirit-of-Eli
Spirit-of-Eli 14.04.2023 um 10:18:38 Uhr
Goto Top
Moin,

woher kommt denn das Zertifikat?
Von deinem Client scheint ja, wie nun in der Meldung, die Sperrliste nicht prüfbar zu sein. Das ist ein Flag, welches bei der Zertifikats Erstellung erzwungen werden kann.

Gruß
Spirit
Kangaroojack
Kangaroojack 14.04.2023 aktualisiert um 14:39:28 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
woher kommt denn das Zertifikat?


Das Zertifikat stammt von GlobalSign, daher wird auch deren Sperrliste im Zertifiakt verlinkt und genutzt.


Zitat von @Mr-Gustav:

Habt Ihr das selbe Cert auch für die RDWeb Seite genommen ?
Kommt da auch die Meldung dass das Zertifikat irgendwelche Probleme hat. Wir alle kennen ja die klassische "Halt diese Webseite ist nicht sicher....... )
Wenn du sagst das der Client die Sperrliste ziehen kann ist die Frage ob der Server das auch kann ?
Es gibt ja einen Unterschied zwischen EXT und INT.
Habt ihr einen Web Proxy dazwischen der da ggf. reinhauen könnte ?

Ja, klar, das Wildcard Zertifikat ist auf allen Servern der Farm ohne Probleme installiert. Es kommt ja auch keine Meldung, dass etwas damit nicht stimmen würde, es kommt die Meldung, dass die Sperrliste nicht erreichbar ist und keine Sperrprüfung durchgeführt werden kann.

Ja, wir nutzen auch Proxy´s. Für mich sieht dieser Blinkereffekt auch genau danach aus - einem Proxy Problem. Daher hatte ich auch im Vorfeld bereits mit unserem Netzwerker geredet - der kann da allerdings in den Logs auch nichts finden und merkwürdigerweise klappt ja auch der manuelle Download der Sperrlistendatei über den verwendeten Proxy JEDESMAL wenn man es manuell im Browser versucht.

Die Sperrprüfung ist ja (nach meinem Verständnis) Sache des Clients (welcher sie erreichen kann) und passiert ja noch vor der Verbindung. Daher ist es doch egal, ob der Server die erreicht?
Vorallem verstehe ich den Blinkereffekt nicht.
Kangaroojack
Lösung Kangaroojack 18.04.2023 um 16:16:22 Uhr
Goto Top
So, möchte das Thema noch kurz aufklären. Es lag also doch an den Proxys. Wir schleifen jetzt den Traffic zu der CRL URL komplett an den Proxys vorbei und schon sind wie von Zauberhand alle Probleme verschwunden und RDP meckert nicht mehr, dass die Sperrliste nicht abgerufen werden kann.