89371
Dec 25, 2018
4256
26
0
RDP Zertifikat per GPO auf die Server verteilen
Frohe Weihnachten zusammen,
ich habe lauter Anleitungen gefunden, bei denen die Clients den vorhandenen Zertifikaten der RDP Server vertrauen.
Ich würde jedoch gerne den RDP Servern ein Zertifikat geben, damit am Client gar nichts mehr gemacht werden muss.
Ich habe ein LetsEncrypt Wildcard Zertifikat, das ich gerne auf alle Server per GPO verteilen will.
Wie bekomme ich das hin?
Vielen Dank in Voraus...
ich habe lauter Anleitungen gefunden, bei denen die Clients den vorhandenen Zertifikaten der RDP Server vertrauen.
Ich würde jedoch gerne den RDP Servern ein Zertifikat geben, damit am Client gar nichts mehr gemacht werden muss.
Ich habe ein LetsEncrypt Wildcard Zertifikat, das ich gerne auf alle Server per GPO verteilen will.
Wie bekomme ich das hin?
Vielen Dank in Voraus...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 396752
Url: https://administrator.de/contentid/396752
Printed on: April 19, 2024 at 12:04 o'clock
26 Comments
Latest comment
gar nicht, wenn deine PCs nicht per pc1.domain.tld anzusprechen sind (was ich nicht hoffe).
Whoops, was spricht dagegen diese so anzusprechen?
Da die PCs sonst höchstwahrscheinlich im freien Internet hinterlegt sind.
Nein, das nicht. Von außen ist nur mein Test-Exchange Server auflösbar.
?? Dafür gibt es Split-DNS
du müsstest bei LE ja das Zertifikat ständig erneuern und verteilen. Das ist doch murks. Du hast eine Domäne und die Server sind intern.
Korrekt wäre, dir eine eigene CA zu installieren, deren root-zertifikat an die Clients zu verteilen und den RDP Servern per GPO zu sagen, das sie sich von deiner internen CA ein eigenes Zertifikat holen sollen.
https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployme ...
Korrekt wäre, dir eine eigene CA zu installieren, deren root-zertifikat an die Clients zu verteilen und den RDP Servern per GPO zu sagen, das sie sich von deiner internen CA ein eigenes Zertifikat holen sollen.
https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployme ...
Macht aber keinen Sinn, denn wie du es schon sagst, alle 3 Monate (spätestens) müsste man alles erneuern.
Ich möchte aber auch, dass nicht-domain PCs, Telefone und Tablets sofort auf meine Sachen zufreifen können, ohne erst einmal irgendwelche Zertifikate installieren bei denen zu müssen. Das geht wohl nicht mit eigenen CA's?
nein. aber wieso sollte man das wollen, außer, wenn man das Netz unsicher machen will?
Warum macht man das Netz damit unsicher?
Wenn Hinz und kunz mit eigenen Geräten RDP Zugriff auf die Systeme insb. Server bekommt dürfte das nicht gerade die Sicherheit erhöhen.
Mit Hinz und Kunz meinst Du vermutlich Gäste, die sich in meinem WLAN befinden. Im Moment können Hinz und Kunz genauso auf die Server zufreifen, nur bekommen sie eine Warnung, dass dem Zertifikat nicht vertraut wird. Sie klicken auf OK und dann müssen sie sich authentifizieren.
Mit dem Zertifikat ändert sich doch nichts, ausser, dass die nervige Warnung weg ist.
Mit dem Zertifikat ändert sich doch nichts, ausser, dass die nervige Warnung weg ist.
Zitat von @89371:
Mit Hinz und Kunz meinst Du vermutlich Gäste, die sich in meinem WLAN befinden. Im Moment können Hinz und Kunz genauso auf die Server zufreifen, nur bekommen sie eine Warnung, dass dem Zertifikat nicht vertraut wird. Sie klicken auf OK und dann müssen sie sich authentifizieren.
Mit Hinz und Kunz meinst Du vermutlich Gäste, die sich in meinem WLAN befinden. Im Moment können Hinz und Kunz genauso auf die Server zufreifen, nur bekommen sie eine Warnung, dass dem Zertifikat nicht vertraut wird. Sie klicken auf OK und dann müssen sie sich authentifizieren.
Das ist dann schlecht designed und solltest du ändern
Mit dem Zertifikat ändert sich doch nichts, ausser, dass die nervige Warnung weg ist.
Sicher, aber du solltest schon davor etwas anpassen. Abgesehen davon: Wenn ein Gast per RDP mit seinem Gerät auf eure Server zugreifen darf, dann braucht jeder Gast lizenzen
Ich habe es so designt, dass Gäste ein VLAN erhalten, auf dem keine Server zu sehen sind. Aber um das gehts hier doch gar nicht.
Warum sagst du dann, dass Gäste die Server sehen können?
Weil ich denen nur die Server durchreiche, dessen Dienste sie auch verwenden dürfen.
Hast Du noch einen nützlichen Beitrag zu meiner Frage wie man den RDP Servern ein Zertifikat per GPO zuweisen kann?
Hast Du noch einen nützlichen Beitrag zu meiner Frage wie man den RDP Servern ein Zertifikat per GPO zuweisen kann?
Die Frage ist oben schon beantwortet: Per LE gar nicht, per internem CA siehe Beitrag des Kollegen. Im weiteren: Dienstzuweisungen sind auch selektiv zu lizenzieren.
AFAIK gibts keine GPO um IRGENDEIN Zertifikat auf dem RDP Server zu installieren.
Du kannst allerdings das entsprechende Zertifikat per GPO in den Server-Cert-Store bringen und dann dem RDP-Dienst per Befehl sagen, das er dieses benutzen soll. Das könnte man durchaus in ein Script pressen.
Kurzes googlen brachte das: https://blog.brankovucinec.com/2016/12/06/how-to-install-custom-certific ...
Sieht ganz gut aus und sollte sich leicht erweitern lassen um deinen Zwecken zu entsprechen
Du kannst allerdings das entsprechende Zertifikat per GPO in den Server-Cert-Store bringen und dann dem RDP-Dienst per Befehl sagen, das er dieses benutzen soll. Das könnte man durchaus in ein Script pressen.
Kurzes googlen brachte das: https://blog.brankovucinec.com/2016/12/06/how-to-install-custom-certific ...
Sieht ganz gut aus und sollte sich leicht erweitern lassen um deinen Zwecken zu entsprechen
Ja, so würde es gehen. Den Link habe ich auch schon gefunden. Ich habe gehofft, dass es eine fertige Methode gibt.
@certifiedit.net Danke trotzdem für Deine Mühe. Und, ja, das eigene CA auf die Clients zu kopieren ist vermutlich das kleinere Übel und muss nicht ständig erneuert werden.
@certifiedit.net Danke trotzdem für Deine Mühe. Und, ja, das eigene CA auf die Clients zu kopieren ist vermutlich das kleinere Übel und muss nicht ständig erneuert werden.
@certifiedit.net
weil ich gerade einen geduldigen und fähigen Mann da habe :c)
Ich installiere gerade eine Zertifizierungsstelle auf meinem Domain Controller. Auch habe ich sie bereits konfiguriert und per GPO an einen Test-Client geschickt und wollte testen ob es noch Warunmeldungen gibt.
Kann es sein, dass das sinnlos war weil sich der Test-Client sowieso schon in der Domäne befindet und dem Domain Controller automatisch vertraut?
weil ich gerade einen geduldigen und fähigen Mann da habe :c)
Ich installiere gerade eine Zertifizierungsstelle auf meinem Domain Controller. Auch habe ich sie bereits konfiguriert und per GPO an einen Test-Client geschickt und wollte testen ob es noch Warunmeldungen gibt.
Kann es sein, dass das sinnlos war weil sich der Test-Client sowieso schon in der Domäne befindet und dem Domain Controller automatisch vertraut?
Je nach dem, wie du deine GPOs definiert hast ja.
Aber der Zweck will sich mir noch nicht so rein: Was suchen externe Leute in deinem Firmennetz?
Aber der Zweck will sich mir noch nicht so rein: Was suchen externe Leute in deinem Firmennetz?
Es befindet sich niemand in meinem Netzwerk. Wenn, dann meine Mutter, wenn sie zu besuch ist :c)
Es ist auch kein Firmennetz, sondern ein Sandkasten / Spielwiese / Lernobjekt. Lizenzen sind vorhanden.
Es ist auch kein Firmennetz, sondern ein Sandkasten / Spielwiese / Lernobjekt. Lizenzen sind vorhanden.
Hast du nicht letztens etwas von 30 Benutzern o.ä geschrieben?
Aber: Auf welche Services soll deine Mutter zugreifen?
Aber: Auf welche Services soll deine Mutter zugreifen?
Du verwenselst verschiedene Arbeitsumgebungen und Testumgebungen. Auch solltest Du Dich daran erinnern, dass die Zahlen fiktiv waren, damit man an der Summe der Lizenzen erkennt wofür sie gezählt wurden.
Warum willst Du eigentlich wissen auf welche Services meine Mutter zugreifen soll?
Warum willst Du eigentlich wissen auf welche Services meine Mutter zugreifen soll?
Zitat von @89371:
Du verwenselst verschiedene Arbeitsumgebungen und Testumgebungen. Auch solltest Du Dich daran erinnern, dass die Zahlen fiktiv waren, damit man an der Summe der Lizenzen erkennt wofür sie gezählt wurden.
Warum willst Du eigentlich wissen auf welche Services meine Mutter zugreifen soll?
Du verwenselst verschiedene Arbeitsumgebungen und Testumgebungen. Auch solltest Du Dich daran erinnern, dass die Zahlen fiktiv waren, damit man an der Summe der Lizenzen erkennt wofür sie gezählt wurden.
Warum willst Du eigentlich wissen auf welche Services meine Mutter zugreifen soll?
Weil ich dir das nicht so ganz abnehme, dass du DAS nur Dafür designest.
Na, wenn Sie nirgends zugreifen muss hast du das Problem schon abgefrühstückt und wir sind fertig - einleuchtend, oder?
Von "designen" kann da nicht die Rede sein. Ich habe halt verschiedene SSID's angelegt, die in verschiedene VLANs führen und verschierene Routings haben. Ich habe sie einfach mal angelegt und die meisten auch nur 1x zum Test verwendet :c)
Einfach als Lernphase.
Einfach als Lernphase.
