SSL Zertifikat bei geklontem Remote Session Host

Mitglied: simcrack

simcrack (Level 1) - Jetzt verbinden

23.12.2015 um 14:43 Uhr, 1792 Aufrufe, 6 Kommentare

Hallo zusammen

Ich habe hier eine Remote Desktop Farm im Aufbau (Windows Server 2012 R2).
Leider habe ich folgendes Problem:
- Ich habe ein SSL Zertifikat auf einem Sesion Host installiert und das funktioniert super (Zertifikat lautet auf *.kundenname.local).
- Wenn ich die Maschine mittels ESXi klone, funktioniert alles wie es soll, jedoch verwendet der Klon nicht das gewünschte SSL Zertifikat, sondern erstellt sich selber ein neues (welchem der Client natürlich nicht vertraut)
- Wenn ich auf dem Klon in den installierten Zertifikaten nachschaue (MMC), ist das Zertifikat immer noch installiert
- Wenn ich mittels PowerShell das Zertifikat wieder aktivieren will (Powershell Befehl: wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”<Fingerabdruck des Zertifikats>”) gibt es den Fehler "Der Parameter ist ungültig"

Das habe ich bereits versucht:
- Anstat ein Wildcard- ein SAN-Zertifikat erstellt (remote.kundenname.local & servername.kundenname.local)
- Das Zertifikat mittels GPO vom Session Host selber erstellen lassen (Resultat: Der SH erstellt ein gültiges Zertifikat, jedoch nur für sich selbst und nicht für remote.kundenname.local)

Leider kann ich nicht auf das Klonen verzichten.
Hat hier jemand eventuell eine Lösung für mein Problem?
Mitglied: emeriks
23.12.2015 um 15:50 Uhr
Hi,
wie wäre es, statt das Zertifikat bereits im Master zu haben (Klone-Vorlage) besser das Zertifikat per GPO zu verteilen?

E.
Bitte warten ..
Mitglied: simcrack
23.12.2015 um 16:13 Uhr
Hallo emeriks

Danke für deine Antwort

Den Gedanken hatte ich auch, allerdings gibt es da einige Probleme.
1. Es handelt sich um ein persönliches Zertifikat, das kann man nicht einfach verteilen (jedenfalls nicht nach meinem Wissen)
2. Es gibt eine GPO EInstellung, mit dem man den SH dazu bringen kann, sich beim DC selbstständig ein Zertifikat zu erstellen (Admin. Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Sicherheit/Zertifikatsvorlage für Serverauthentifizierung). Das funktioniert hervorragend, aber der SH beantragt nur für seinen Namen das Zertifikat, obwohl er eigentlich ein SAN- oder Wildcard-Zertifikat benötigt.
Bitte warten ..
Mitglied: emeriks
23.12.2015 um 21:12 Uhr
Warum sollte man ein SSL Zertifikat nicht verteilen können?
https://technet.microsoft.com/en-us/library/cc731253(v=ws.10).aspx
Bitte warten ..
Mitglied: simcrack
24.12.2015 um 09:02 Uhr
Hallo emeriks

Du hast recht, ich habe mich vom Namen "öffentliche Zertifikate" verwirren lassen. Trotzdem bringt mich das nicht weiter, denn das Zertifikat muss unter "Eigene Zertifikate" abgelegt werden und nicht bei den Stammzertifizierungsstellen. Microsoft ist da leider sehr unflexibel.

Ich installiere das Zertifikat jetzt mittels Startup Script, da ist zwar nicht so schön aber es funktioniert wenigstens.
Bitte warten ..
Mitglied: emeriks
LÖSUNG 24.12.2015, aktualisiert um 15:08 Uhr
Hast Recht. Mein Fehler.

Ich installiere das Zertifikat jetzt mittels Startup Script, da ist zwar nicht so schön aber es funktioniert wenigstens.
Viele Wege führen nach Rumänien ...
Bitte warten ..
Mitglied: simcrack
24.12.2015 um 15:07 Uhr
Ich bin einfach nur froh, dass ich jetzt ein Problem weniger habe.
Vielen Dank emeriks, dass du dir Zeit genommen hast.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic53 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware22 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 23 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Windows Server
Lokaler DNS verlangsamt Internet?
gelöst Rattical84Vor 10 StundenFrageWindows Server20 Kommentare

Hallo zusammen, ich habe hier eine Domäne mit dem Domänencontroller als DNS-Server. Das ist der einzige DC und DNS-Server im Netz. Jetzt habe ich ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 14 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...

Windows 10
Blog 2: Mal wieder Microsoft haten?
GrueneSosseMitSpeckVor 1 TagBlogWindows 102 Kommentare

und allseits beliebt: die Kirsche blüht vor dem Haus. Also endlich mal die neue Kamera ausgepackt, ein paar Fotos geknipst, und dann? USB Kabel ...