11
RDS-Wildcard (SSL) Certificate
Moin liebe Gemeinde.
Ich würde gerne ein SSL-Cert für unsere RDS Farm ausrollen.
Paar RDS-SH
1x Broker
1x Broker + GW
In den Einstellungen für die Farm habe ich das *.domain Zertifikat bereits hinterlegt.
Angesprochen werden die SH über DNS (Round-Robin).
Dazu bekomme ich dann eine Zerifikatsmeldung (Angeforderter Computer hat einen anderen Namen blubb.)
Muss ich dazu nur das Zertifikat auf den SHs unter eigene Zertifikate einspielen?
Grüße
Meow
Ich würde gerne ein SSL-Cert für unsere RDS Farm ausrollen.
Paar RDS-SH
1x Broker
1x Broker + GW
In den Einstellungen für die Farm habe ich das *.domain Zertifikat bereits hinterlegt.
Angesprochen werden die SH über DNS (Round-Robin).
Dazu bekomme ich dann eine Zerifikatsmeldung (Angeforderter Computer hat einen anderen Namen blubb.)
Muss ich dazu nur das Zertifikat auf den SHs unter eigene Zertifikate einspielen?
Grüße
Meow
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5780223248
Url: https://administrator.de/contentid/5780223248
Printed on: June 23, 2024 at 02:06 o'clock
11 Comments
Latest comment
hä?du brauchst do Computerzertifikate oder nicht ?
SSL Zertifikat kommt aus dem Webseiten bereich https und so... webserver eben...
und wenns hier um ne webseite geht dann bindet man SSL Zertifikat entweder im IIS Server ein oder
anderen Webserver eben.
IIS Konsole aufmachen dann aufklappen bis Sites, Default Website
Dort dann Authentication Option (Mitte rechts, das Menü) anklicken,
rechtes Menü Bindings, dort dann https auswählen und dann hier das SSL Zertifikat auswählen unten.
anschliessend IIS Dienst neu starten.
SSL Zertifikat kommt aus dem Webseiten bereich https und so... webserver eben...
und wenns hier um ne webseite geht dann bindet man SSL Zertifikat entweder im IIS Server ein oder
anderen Webserver eben.
IIS Konsole aufmachen dann aufklappen bis Sites, Default Website
Dort dann Authentication Option (Mitte rechts, das Menü) anklicken,
rechtes Menü Bindings, dort dann https auswählen und dann hier das SSL Zertifikat auswählen unten.
anschliessend IIS Dienst neu starten.
Moin,
ist die Frage nun beantwortet oder nicht. Das ist mir nach deinem letzten Kommentar nicht klar.
Gruß,
Dani
ist die Frage nun beantwortet oder nicht. Das ist mir nach deinem letzten Kommentar nicht klar.
Gruß,
Dani
Hi Dani,
nein die Frage ist nicht beantwortet.
nein die Frage ist nicht beantwortet.
Hi,
SSL ist für RD-Web.
Deine Clients, die sich per RD Client an einem RDSH per DNS anmelden wollen werden auf den Connection Broker weitergeleitet.
Der schaut dann, auf welchem RDSH der Client sich verbinden soll (Load-Balancing).
Problem:
Der Client erwartet das Zertifikat von dem Server, auf dem du dich letztlich verbindest.
Verifiziert wird aber das Zertifikat vom Connection Broker (Farm).
Es erscheint ein Zertifikatsfehler, weil der RDSH in seinem Zertifikat nicht den Namen der Farm beinhaltet.
--> Verbindung wird daher als Sicherheitsrisiko erkannt.
Lösung:
Entweder jedem Server das Wildcard Zertifikat geben
oder
auf dem Connection Broker ein Zertifikat hinterlegen, das im SAN alle Server FQDNs beinhaltet (also von der Farm und von den RDS-Hosts).
Meine Empfehlung:
Nutz RD Web.
Dafür war ursprünglich auch die Remote Desktop Services konzipiert.
VG
SSL ist für RD-Web.
Deine Clients, die sich per RD Client an einem RDSH per DNS anmelden wollen werden auf den Connection Broker weitergeleitet.
Der schaut dann, auf welchem RDSH der Client sich verbinden soll (Load-Balancing).
Problem:
Der Client erwartet das Zertifikat von dem Server, auf dem du dich letztlich verbindest.
Verifiziert wird aber das Zertifikat vom Connection Broker (Farm).
Es erscheint ein Zertifikatsfehler, weil der RDSH in seinem Zertifikat nicht den Namen der Farm beinhaltet.
--> Verbindung wird daher als Sicherheitsrisiko erkannt.
Lösung:
Entweder jedem Server das Wildcard Zertifikat geben
oder
auf dem Connection Broker ein Zertifikat hinterlegen, das im SAN alle Server FQDNs beinhaltet (also von der Farm und von den RDS-Hosts).
Meine Empfehlung:
Nutz RD Web.
Dafür war ursprünglich auch die Remote Desktop Services konzipiert.
VG
Hi ! Danke dir!! 
Das Wildcard habe ich entsprechend auf alle Server unter "Eigene Zertifikate" ausgerollt,
Meldung kommt leider immernoch.
Oder muss das Cert. woanders rin?
Danke dir!
Grüße!
Das Wildcard habe ich entsprechend auf alle Server unter "Eigene Zertifikate" ausgerollt,
Meldung kommt leider immernoch.
Oder muss das Cert. woanders rin?
Danke dir!
Grüße!
Moin @MeowJayJay,
hoffentlich auch unter Computerkonto und nicht beim Benutzer.
Ist auch normal, weil das "installieren" des Zertifikats, nur die halbe Miete ist.
Denn man muss es auch noch für den entsprechenden Dienst "aktivieren".
Siehe ...
https://www.frankysweb.de/tipp-zertifikat-fr-rdp-austauschen/
😉
Gruss Alex
Das Wildcard habe ich entsprechend auf alle Server unter "Eigene Zertifikate" ausgerollt,
hoffentlich auch unter Computerkonto und nicht beim Benutzer.
Meldung kommt leider immernoch.
Ist auch normal, weil das "installieren" des Zertifikats, nur die halbe Miete ist.
Denn man muss es auch noch für den entsprechenden Dienst "aktivieren".
Siehe ...
https://www.frankysweb.de/tipp-zertifikat-fr-rdp-austauschen/
😉
Gruss Alex
1
Moin @ThePinky777,
eine RDS Verbindung wird im Normalfall auch per SSL/TLS gesichert genau so wie auch eine Webseite, daher kannst du für beides auch dasselbe Zertifikat verwenden. 😉
Gruss Alex
hä?du brauchst do Computerzertifikate oder nicht ?
SSL Zertifikat kommt aus dem Webseiten bereich https und so... webserver eben...
SSL Zertifikat kommt aus dem Webseiten bereich https und so... webserver eben...
eine RDS Verbindung wird im Normalfall auch per SSL/TLS gesichert genau so wie auch eine Webseite, daher kannst du für beides auch dasselbe Zertifikat verwenden. 😉
Gruss Alex
@MysticFoxDE
Guter Hinweis, dass das Wildcard Zertifikat auch für den Purpose RDP genutzt werden muss*
Glatt vergessen das zu erwähnen.
Danach --> sollte <-- alles klappen
Guter Hinweis, dass das Wildcard Zertifikat auch für den Purpose RDP genutzt werden muss*
Glatt vergessen das zu erwähnen.
Danach --> sollte <-- alles klappen
Hi Alex! Danke dir.
Das scheint mir die Lösung zu sein - den Baustein habe ich noch gesucht.
Leider kommt bei den TS die Fehlermeldung.
Auf dem Gateway zb. funktionierts.
Grüße
Das scheint mir die Lösung zu sein - den Baustein habe ich noch gesucht.
Set-WmiInstance : Der Parameter ist ungültig.
In Zeile:1 Zeichen:1
+ Set-WmiInstance -Path $TSpath -Argument @{SSLCertificateSHA1Hash="095 ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Set-WmiInstance], ManagementException
+ FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstanceLeider kommt bei den TS die Fehlermeldung.
Auf dem Gateway zb. funktionierts.
Grüße
Die Anleitung ist ja in diesem Fall auch Mist, die ist nur für einzelne Server und nicht für ein richtiges RDS Deployment!
Halte dich hieran dann klappt das vernünftig und auch mit SSO, die Certs kommen auf das GW und den ConnectionBroker, die Sessionhosts sind dabei schnuppe:
https://rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless-log ...
Gruß
Halte dich hieran dann klappt das vernünftig und auch mit SSO, die Certs kommen auf das GW und den ConnectionBroker, die Sessionhosts sind dabei schnuppe:
https://rdsgurus.com/windows-2012-r2-how-to-create-a-mostly-seamless-log ...
Gruß
2