tuberplays
Goto Top

RDWeb Zertifikatsfehler

Hallo zusammen,

kurz vorm Wochenende kam bei uns nochmal eins der bekannten "Warum?!" Themen rein.

Wir verwenden auf einer RDS Farm (Connection Broker + Gateway mit 2 RDS Hosts, alles Server 2022) das HTML5 Webportal zum Zugriff . Das Ganze hat nun auch ca. ein halbes Jahr funktioniert. Seit heute bekommen die Benutzer beim Versuch die Verbindung zu starten den Hinweis, dass das Zertifikat nicht passt.

fehlermeldung

An dem Aufbau wurde seit Inbetriebnahme nichts verändert. Das genannte Zertifikat habe ich mir auch angesehen, das ist auch noch gültig
Thumbprint   : 71XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
FriendlyName :
NotBefore    : 14.12.2023 10:49:59
NotAfter     : 14.12.2025 10:59:59

Der "normale" Zugriff per aus dem RDWeb geladener RDP Datei funktioniert problemlos - auch ohne Zertifikatsmeldung. Das Zertifikat stammt aus der internen Domänen CA und ist dort ebenfalls noch als gültig klassifiziert.

Das Thema Reverse Proxy konnten wir schon ausschließen, da es intern (externer DNS Eintrag löst auch intern direkt auf die interne IP auf) mit der gleichen Fehlermeldung nicht läuft.

Jemand noch einen Tipp für mich?

Danke und Grüße!

Content-ID: 81471851963

Url: https://administrator.de/forum/rdweb-zertifikatsfehler-81471851963.html

Ausgedruckt am: 27.12.2024 um 02:12 Uhr

em-pie
em-pie 16.02.2024 um 17:22:02 Uhr
Goto Top
Moin,

Uhrzeit des RDSHosts ist korrekt?
TuberPlays
TuberPlays 16.02.2024 um 17:38:39 Uhr
Goto Top
Servus,

Zitat von @em-pie:
Uhrzeit des RDSHosts ist korrekt?
Ja. Hosts, sowie Broker sind korrekt.
em-pie
em-pie 16.02.2024 um 18:03:37 Uhr
Goto Top
Passen alle Namen im Zertifikat?
Datum an den Clients/ Hosts auch korrekt?
Mal den IIS auf dem RDSHost neugestartet?
Irgendwas im Eventlog entdeckt?
TuberPlays
TuberPlays 16.02.2024 um 18:46:35 Uhr
Goto Top
Zitat von @em-pie:
Datum an den Clients/ Hosts auch korrekt?
Ja. Hosts, sowie Broker passen. Clients passen auch.


Zitat von @em-pie:
Mal den IIS auf dem RDSHost neugestartet?
Ja. Leider ohne besserung


Zitat von @em-pie:
Irgendwas im Eventlog entdeckt?
Leider nein. Im IIS Log finden sich nur die Errors beim Aufbau der Verbindung.
2024-02-16T15:45:37.822Z OSSLTransport(NORM): Initiating the TLS handshake.
2024-02-16T15:45:37.842Z OSSLTransport(NORM): Validating the server certificate using an expected certificate...
2024-02-16T15:45:37.847Z OSSLTransport(NORM): Certificate validation failed for a TLS certificate with SHA1 fingerprint='71XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'  
2024-02-16T15:45:37.849Z Connection(ERR): The connection generated an internal exception with disconnect code=CertMismatch(7), extended code=<null>, reason=The cert from the remote server did not match the expected certificate (length mismatch).
 Thrown in thread 1136492 at:
    tls/ossltransport.cpp(512)
Call Stack:
        at invoke_iiiiiii
        at https://homeportal.mydomain.de/rdweb/webclient/librdp/html/librdphtml.a2d54375.wasm:wasm-function[7914]:0x3ddcac
        at invoke_iii
        at https://homeportal.mydomain.de/rdweb/webclient/librdp/html/librdphtml.a2d54375.wasm:wasm-function[7918]:0x3e175a 

    connection.cpp(1801): OnException()


Zitat von @em-pie:
Passen alle Namen im Zertifikat?
Vermutlich Doofe frage: Welche Namen müssen da rein? Aktuell stehen die internen und externen DNS Namen vom RD Broker drin.
em-pie
em-pie 16.02.2024 um 20:54:14 Uhr
Goto Top
Und woran lag es jetzt?
Hast den Thread als gelöst markiert…
TuberPlays
TuberPlays 16.02.2024 um 21:01:54 Uhr
Goto Top
Zitat von @em-pie:
Hast den Thread als gelöst markiert…
Hatte mich vorher beim zitieren verklickt. Ist bereinigt.
11078840001
11078840001 16.02.2024 aktualisiert um 22:26:28 Uhr
Goto Top
The cert from the remote server did not match the expected certificate (length mismatch)
Die Fehlermeldung besagt es eigentlich schon.

Der HTML 5 Client hat eine separate Zertifikats-Definition wenn dort das Cert nicht mit dem des RDS-Hosts/GW übereinstimmt, knallt es, lass es dir mit
Get-RDWebClientBrokerCert
anzeigen, da liegt sicher noch ein altes Cert.

Das neue dann importieren mittels
Import-RDWebClientBrokerCert C:\temp\mycert.cer
Publish-RDWebClientPackage -Type Production -Latest
Danach zur Sicherheit noch den Browsercache löschen und du solltest wieder auf Spur sein.

Einrichten des Remotedesktop-Webclients für Ihre Benutzer

Am besten gleich für die nächste Zertifikatserneuerung notieren oder ein Skript schreiben das einen das beim nächsten mal nicht vergessen lässt. 😉

☠️
TuberPlays
TuberPlays 16.02.2024 um 22:26:20 Uhr
Goto Top
Zitat von @11078840001:
lass es dir mit
Get-RDWebClientBrokerCert
anzeigen, da liegt sicher noch ein altes Cert.

Das hinterlegte Zertifikat ist noch bis 2025 gültig. Da das Zertifikat noch nie gewechselt wurde "kann" dort kein altes Zertifikat liegen.
11078840001
Lösung 11078840001 16.02.2024 aktualisiert um 22:40:45 Uhr
Goto Top
Zitat von @TuberPlays:

Das hinterlegte Zertifikat ist noch bis 2025 gültig. Da das Zertifikat noch nie gewechselt wurde "kann" dort kein altes Zertifikat liegen.

Genau das sagt der Fehler aber aus.
Prüfen heißt die Mutter der Porzelankiste ...

Hatte ich erst vor ner Woche bei einem Kunden, genau das selbe Problem. Der Webclient verliert auch gerne ohne Anlass seine Config, zwar selten, ist mir aber schon mal unter gekommen, weiß der Geier wenn MS mal wieder meint mit Updates die Chose zum Abkacken bewegen zu müssen.
Celiko
Lösung Celiko 17.02.2024 um 01:43:20 Uhr
Goto Top
Yo, kann das von abramakabra nur bestätigen.
Ist uns auch schon 2x passiert.
Alle Zertifikate in der RD-Deployment zu aktualisieren / neu einzuspielen kann helfen.

VG
TuberPlays
TuberPlays 18.02.2024 um 19:48:49 Uhr
Goto Top
Hallo zusammen,

ich habe heute das Wartungsfenster mal genutzt, um etwas an dem Teil "rumzuwerkeln".

Das vorhandene Zertifikat nochmal einzuspielen hat keine Besserung gebracht. Habe ich mir dann von der CA ein neues Zertifikat ausstellen lassen und hinterlegt. Seither klappt auch der Zugriff wieder.

Testweise auch nochmal das alte - aber noch gültige - Zertifikat hinterlegt -> Fehlermeldung wieder da.

Würde ich es nicht besser wissen, würde ich sagen "Zertifikat kaputt", was aber eigentlich nicht sein dürfte, da das selbe Zertifikat im "normalen" RDweb problemlos funktioniert.

Danke für eure Unterstützung und schönes Restwochenende.