Zertifikat für RemoteApp WebAccess W2008R2
Hallo
Ich versuche gerade eine über das Internet erreichbare RemoteApp auf einem Windows 2008 R2 mit allen Zertifikaten zum Laufen zu bringen.
Gelungen ist mir bisher:
1. DynDNS Account und Aktualisierung
2. RDWeb aktivieren und Anwendungen bereitstellen
3. IIS mit einem LetsEncrypt Zertifikat ausstatten
4. RemoteApp Manager an das Lets Encrypt Zertifikat binden.
Beim Versuch von außen auf die IIS/RDWeb zuzugreifen funktioniert alles wie gewollt. Die Oberfläche zeigt sich brav mit gültigem Zertifikat im https. Anmeldung gelingt auch. Apps lassen sich problemlos ausführen.
ABER:
Wenn ich die App starte kommt als erstes eine Meldung: Es wird versucht ein RemoteApp Programm zu starten. Stellen sie zunächst sicher, dass Sie dem Herausgeber vertrauen.
Soweit so gut. Ich kann auf "Verbinden" klicken und es geht weiter. Kann ich irgendwie dafür sorgen, dass diese Frage nicht jedesmal gestellt wird?
Im nächsten Schritt ist mein eigentlich verbleibendes Problem:
Zertifikatproblem: Angefordert wird jetzt, wie die ganze Zeit, die DynDNS Adresse. Aber im Zertifikat steht noch die Host.domäne.local. Also nur beim Starten der App. Wo finde ich jetzt dieses Zertifikat, damit ich auch hier das LetsEncrypt eintragen kann?
Viele Grüße
Julian
Ich versuche gerade eine über das Internet erreichbare RemoteApp auf einem Windows 2008 R2 mit allen Zertifikaten zum Laufen zu bringen.
Gelungen ist mir bisher:
1. DynDNS Account und Aktualisierung
2. RDWeb aktivieren und Anwendungen bereitstellen
3. IIS mit einem LetsEncrypt Zertifikat ausstatten
4. RemoteApp Manager an das Lets Encrypt Zertifikat binden.
Beim Versuch von außen auf die IIS/RDWeb zuzugreifen funktioniert alles wie gewollt. Die Oberfläche zeigt sich brav mit gültigem Zertifikat im https. Anmeldung gelingt auch. Apps lassen sich problemlos ausführen.
ABER:
Wenn ich die App starte kommt als erstes eine Meldung: Es wird versucht ein RemoteApp Programm zu starten. Stellen sie zunächst sicher, dass Sie dem Herausgeber vertrauen.
Soweit so gut. Ich kann auf "Verbinden" klicken und es geht weiter. Kann ich irgendwie dafür sorgen, dass diese Frage nicht jedesmal gestellt wird?
Im nächsten Schritt ist mein eigentlich verbleibendes Problem:
Zertifikatproblem: Angefordert wird jetzt, wie die ganze Zeit, die DynDNS Adresse. Aber im Zertifikat steht noch die Host.domäne.local. Also nur beim Starten der App. Wo finde ich jetzt dieses Zertifikat, damit ich auch hier das LetsEncrypt eintragen kann?
Viele Grüße
Julian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380917
Url: https://administrator.de/contentid/380917
Ausgedruckt am: 08.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Nachdem heute Texte und Dokus nicht mehr gelesen werden....
Nur für dich, der tl:dr Auszug aus dem Text:
Damit wird dann auch die RDP Session mit dem gewünschten Zertifikat signiert.
Und auch auf den Verdacht hin, dass es eh nicht gelesen wird hier noch die Detailinfos zur relevanten WMI Klasse: Win32_TSGeneralSetting class
Nur für dich, der tl:dr Auszug aus dem Text:
Another way of achieving this result, and forcing machines to use a specific certificate for RDP…is via a simple WMIC command from an elevated prompt, or you can use PowerShell. The catch is that you must do it from the individual machine. You will need the thumbprint of the certificate you wish RDP to use, and the cert itself must exist in the machine’s personal store with the appropriate EKU.
CMD:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”THUMBPRINT”
PowerShell:
$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}
Damit wird dann auch die RDP Session mit dem gewünschten Zertifikat signiert.
Und auch auf den Verdacht hin, dass es eh nicht gelesen wird hier noch die Detailinfos zur relevanten WMI Klasse: Win32_TSGeneralSetting class
Zitat von @JulianOhm:
Das habe ich wohl gelesen. Aber hier steht, dass dies zur Kategorie mit ADCS gehört.
Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird
Das habe ich wohl gelesen. Aber hier steht, dass dies zur Kategorie mit ADCS gehört.
Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird
Ist egal wo das Zertifikat her kommt. Lies es nochmal, und geh abstrakt ran. Es geht weniger um die Herkunft des Zerts sondern viel mehr an welcher Stelle du die RDP Zertifikate anpasst.
Diese haben wie du schon festgestellt hast nichts mit dem Gateway Zertifikat zu tun, welches du z.B. über den IIS Manager via GUI anpassen kannst, und werden vor allen Dingen automatisch - sofern nicht vorhanden - lokal spätestens beim Start vom RemoteDesktop Dienst generiert.
Der eine WMIC Befehl löst dein Problem.