julianohm
Goto Top

Zertifikat für RemoteApp WebAccess W2008R2

Hallo

Ich versuche gerade eine über das Internet erreichbare RemoteApp auf einem Windows 2008 R2 mit allen Zertifikaten zum Laufen zu bringen.

Gelungen ist mir bisher:
1. DynDNS Account und Aktualisierung
2. RDWeb aktivieren und Anwendungen bereitstellen
3. IIS mit einem LetsEncrypt Zertifikat ausstatten
4. RemoteApp Manager an das Lets Encrypt Zertifikat binden.

Beim Versuch von außen auf die IIS/RDWeb zuzugreifen funktioniert alles wie gewollt. Die Oberfläche zeigt sich brav mit gültigem Zertifikat im https. Anmeldung gelingt auch. Apps lassen sich problemlos ausführen.
ABER:

Wenn ich die App starte kommt als erstes eine Meldung: Es wird versucht ein RemoteApp Programm zu starten. Stellen sie zunächst sicher, dass Sie dem Herausgeber vertrauen.

Soweit so gut. Ich kann auf "Verbinden" klicken und es geht weiter. Kann ich irgendwie dafür sorgen, dass diese Frage nicht jedesmal gestellt wird?
Im nächsten Schritt ist mein eigentlich verbleibendes Problem:
Zertifikatproblem: Angefordert wird jetzt, wie die ganze Zeit, die DynDNS Adresse. Aber im Zertifikat steht noch die Host.domäne.local. Also nur beim Starten der App. Wo finde ich jetzt dieses Zertifikat, damit ich auch hier das LetsEncrypt eintragen kann?

Viele Grüße
Julian

Content-ID: 380917

Url: https://administrator.de/contentid/380917

Ausgedruckt am: 08.11.2024 um 17:11 Uhr

dodo30
dodo30 20.07.2018 um 15:22:22 Uhr
Goto Top
hey,

wie heisst den dein host?
deine webadresse die du dann aufrufst ?

und was hast du dem Zertikat mitgegeben?
JulianOhm
JulianOhm 20.07.2018 um 15:44:11 Uhr
Goto Top
naja die Webadresse ist https://XXXhostXXX.ddns.net/RDWeb
Lokaler Hostname: WTS2008R2.ORE.lokal

Wie gesagt, an den meisten Stellen verwendet er auch das richtige, nämlich das LetsEncrypt, Zertifikat. Nur an dieser Stelle nicht und ich kann nicht identifizieren, was diese Stelle ist. wo muss ich noch nach dem Zertifikat suchen.

Der IIS nimmt für https das richtige. Im RemoteApp Manager ist unter Remotedesktop-Sitzungshostserver auch der externe, also der ddns.net eingetragen und unter Digiataler signatur steht auch der externe Host mit dem passenden Zertifikat drin.

Es muss also eine weitere Stelle geben, wo noch das lokale selbstsignierte Zertifikat im Dunstkreis der Remotedesktopdienste hinterlegt ist und auf das LetsEncrypt umgestellt werden muss. Nur wo ist die Frage
psannz
psannz 20.07.2018 um 16:55:14 Uhr
Goto Top
Sers,

im Technet wird dir geholfen.

Grüße,
Philip
JulianOhm
JulianOhm 20.07.2018 um 18:23:16 Uhr
Goto Top
Danke. Aber das scheint mein Problem gar nicht zu berühren.

Ich habe keinen zertifikatsserver. Ich versuche auch nicht via ip zu verbinden. Ich verbinde via fqdn via RDWeb. Aber der Server gibt ein Zertifikat zurück mit dem falschen Namen (nämlich das alte Self signed). Aber ich finde die Stelle nicht um es auszutauschen
psannz
psannz 20.07.2018 aktualisiert um 19:12:20 Uhr
Goto Top
Nachdem heute Texte und Dokus nicht mehr gelesen werden....

Nur für dich, der tl:dr Auszug aus dem Text:
Another way of achieving this result, and forcing machines to use a specific certificate for RDP…is via a simple WMIC command from an elevated prompt, or you can use PowerShell. The catch is that you must do it from the individual machine. You will need the thumbprint of the certificate you wish RDP to use, and the cert itself must exist in the machine’s personal store with the appropriate EKU.

CMD:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”THUMBPRINT”


PowerShell:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path  

Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}  


Damit wird dann auch die RDP Session mit dem gewünschten Zertifikat signiert.

Und auch auf den Verdacht hin, dass es eh nicht gelesen wird hier noch die Detailinfos zur relevanten WMI Klasse: Win32_TSGeneralSetting class
JulianOhm
JulianOhm 20.07.2018 um 20:08:30 Uhr
Goto Top
Das habe ich wohl gelesen. Aber hier steht, dass dies zur Kategorie mit ADCS gehört.

Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird
psannz
psannz 21.07.2018 um 00:09:46 Uhr
Goto Top
Zitat von @JulianOhm:

Das habe ich wohl gelesen. Aber hier steht, dass dies zur Kategorie mit ADCS gehört.

Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird

Ist egal wo das Zertifikat her kommt. Lies es nochmal, und geh abstrakt ran. Es geht weniger um die Herkunft des Zerts sondern viel mehr an welcher Stelle du die RDP Zertifikate anpasst.
Diese haben wie du schon festgestellt hast nichts mit dem Gateway Zertifikat zu tun, welches du z.B. über den IIS Manager via GUI anpassen kannst, und werden vor allen Dingen automatisch - sofern nicht vorhanden - lokal spätestens beim Start vom RemoteDesktop Dienst generiert.

Der eine WMIC Befehl löst dein Problem.
JulianOhm
JulianOhm 22.07.2018 um 23:11:53 Uhr
Goto Top
Okay. Ich gucke es mir nochmal genauer an. Vielen Dank