8
Zertifikat für RemoteApp WebAccess W2008R2
Hallo
Ich versuche gerade eine über das Internet erreichbare RemoteApp auf einem Windows 2008 R2 mit allen Zertifikaten zum Laufen zu bringen.
Gelungen ist mir bisher:
1. DynDNS Account und Aktualisierung
2. RDWeb aktivieren und Anwendungen bereitstellen
3. IIS mit einem LetsEncrypt Zertifikat ausstatten
4. RemoteApp Manager an das Lets Encrypt Zertifikat binden.
Beim Versuch von außen auf die IIS/RDWeb zuzugreifen funktioniert alles wie gewollt. Die Oberfläche zeigt sich brav mit gültigem Zertifikat im https. Anmeldung gelingt auch. Apps lassen sich problemlos ausführen.
ABER:
Wenn ich die App starte kommt als erstes eine Meldung: Es wird versucht ein RemoteApp Programm zu starten. Stellen sie zunächst sicher, dass Sie dem Herausgeber vertrauen.
Soweit so gut. Ich kann auf "Verbinden" klicken und es geht weiter. Kann ich irgendwie dafür sorgen, dass diese Frage nicht jedesmal gestellt wird?
Im nächsten Schritt ist mein eigentlich verbleibendes Problem:
Zertifikatproblem: Angefordert wird jetzt, wie die ganze Zeit, die DynDNS Adresse. Aber im Zertifikat steht noch die Host.domäne.local. Also nur beim Starten der App. Wo finde ich jetzt dieses Zertifikat, damit ich auch hier das LetsEncrypt eintragen kann?
Viele Grüße
Julian
Ich versuche gerade eine über das Internet erreichbare RemoteApp auf einem Windows 2008 R2 mit allen Zertifikaten zum Laufen zu bringen.
Gelungen ist mir bisher:
1. DynDNS Account und Aktualisierung
2. RDWeb aktivieren und Anwendungen bereitstellen
3. IIS mit einem LetsEncrypt Zertifikat ausstatten
4. RemoteApp Manager an das Lets Encrypt Zertifikat binden.
Beim Versuch von außen auf die IIS/RDWeb zuzugreifen funktioniert alles wie gewollt. Die Oberfläche zeigt sich brav mit gültigem Zertifikat im https. Anmeldung gelingt auch. Apps lassen sich problemlos ausführen.
ABER:
Wenn ich die App starte kommt als erstes eine Meldung: Es wird versucht ein RemoteApp Programm zu starten. Stellen sie zunächst sicher, dass Sie dem Herausgeber vertrauen.
Soweit so gut. Ich kann auf "Verbinden" klicken und es geht weiter. Kann ich irgendwie dafür sorgen, dass diese Frage nicht jedesmal gestellt wird?
Im nächsten Schritt ist mein eigentlich verbleibendes Problem:
Zertifikatproblem: Angefordert wird jetzt, wie die ganze Zeit, die DynDNS Adresse. Aber im Zertifikat steht noch die Host.domäne.local. Also nur beim Starten der App. Wo finde ich jetzt dieses Zertifikat, damit ich auch hier das LetsEncrypt eintragen kann?
Viele Grüße
Julian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380917
Url: https://administrator.de/contentid/380917
Ausgedruckt am: 08.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
hey,
wie heisst den dein host?
deine webadresse die du dann aufrufst ?
und was hast du dem Zertikat mitgegeben?
wie heisst den dein host?
deine webadresse die du dann aufrufst ?
und was hast du dem Zertikat mitgegeben?
naja die Webadresse ist https://XXXhostXXX.ddns.net/RDWeb
Lokaler Hostname: WTS2008R2.ORE.lokal
Wie gesagt, an den meisten Stellen verwendet er auch das richtige, nämlich das LetsEncrypt, Zertifikat. Nur an dieser Stelle nicht und ich kann nicht identifizieren, was diese Stelle ist. wo muss ich noch nach dem Zertifikat suchen.
Der IIS nimmt für https das richtige. Im RemoteApp Manager ist unter Remotedesktop-Sitzungshostserver auch der externe, also der ddns.net eingetragen und unter Digiataler signatur steht auch der externe Host mit dem passenden Zertifikat drin.
Es muss also eine weitere Stelle geben, wo noch das lokale selbstsignierte Zertifikat im Dunstkreis der Remotedesktopdienste hinterlegt ist und auf das LetsEncrypt umgestellt werden muss. Nur wo ist die Frage
Lokaler Hostname: WTS2008R2.ORE.lokal
Wie gesagt, an den meisten Stellen verwendet er auch das richtige, nämlich das LetsEncrypt, Zertifikat. Nur an dieser Stelle nicht und ich kann nicht identifizieren, was diese Stelle ist. wo muss ich noch nach dem Zertifikat suchen.
Der IIS nimmt für https das richtige. Im RemoteApp Manager ist unter Remotedesktop-Sitzungshostserver auch der externe, also der ddns.net eingetragen und unter Digiataler signatur steht auch der externe Host mit dem passenden Zertifikat drin.
Es muss also eine weitere Stelle geben, wo noch das lokale selbstsignierte Zertifikat im Dunstkreis der Remotedesktopdienste hinterlegt ist und auf das LetsEncrypt umgestellt werden muss. Nur wo ist die Frage
Danke. Aber das scheint mein Problem gar nicht zu berühren.
Ich habe keinen zertifikatsserver. Ich versuche auch nicht via ip zu verbinden. Ich verbinde via fqdn via RDWeb. Aber der Server gibt ein Zertifikat zurück mit dem falschen Namen (nämlich das alte Self signed). Aber ich finde die Stelle nicht um es auszutauschen
Ich habe keinen zertifikatsserver. Ich versuche auch nicht via ip zu verbinden. Ich verbinde via fqdn via RDWeb. Aber der Server gibt ein Zertifikat zurück mit dem falschen Namen (nämlich das alte Self signed). Aber ich finde die Stelle nicht um es auszutauschen
Nachdem heute Texte und Dokus nicht mehr gelesen werden....
Nur für dich, der tl:dr Auszug aus dem Text:
Damit wird dann auch die RDP Session mit dem gewünschten Zertifikat signiert.
Und auch auf den Verdacht hin, dass es eh nicht gelesen wird hier noch die Detailinfos zur relevanten WMI Klasse: Win32_TSGeneralSetting class
Nur für dich, der tl:dr Auszug aus dem Text:
Another way of achieving this result, and forcing machines to use a specific certificate for RDP…is via a simple WMIC command from an elevated prompt, or you can use PowerShell. The catch is that you must do it from the individual machine. You will need the thumbprint of the certificate you wish RDP to use, and the cert itself must exist in the machine’s personal store with the appropriate EKU.
CMD:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”THUMBPRINT”
PowerShell:
$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"} Damit wird dann auch die RDP Session mit dem gewünschten Zertifikat signiert.
Und auch auf den Verdacht hin, dass es eh nicht gelesen wird hier noch die Detailinfos zur relevanten WMI Klasse: Win32_TSGeneralSetting class
Das habe ich wohl gelesen. Aber hier steht, dass dies zur Kategorie mit ADCS gehört.
Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird
Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird
Zitat von @JulianOhm:
Das habe ich wohl gelesen. Aber hier steht, dass dies zur Kategorie mit ADCS gehört.
Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird
Das habe ich wohl gelesen. Aber hier steht, dass dies zur Kategorie mit ADCS gehört.
Es muss doch an irgendeiner Stelle das zu verwendende Zertifikat aus einer Liste der vorhandenen Zertifikate ausgewählt werden können, so wie es ja auch beim IIS oder dem RemoteApp Manager ist und nicht nur über einen Kommandozeilenbefehl. Irgendwo muss ja stehen, dass das jetzige Zertifikat zurückgeliefert wird
Ist egal wo das Zertifikat her kommt. Lies es nochmal, und geh abstrakt ran. Es geht weniger um die Herkunft des Zerts sondern viel mehr an welcher Stelle du die RDP Zertifikate anpasst.
Diese haben wie du schon festgestellt hast nichts mit dem Gateway Zertifikat zu tun, welches du z.B. über den IIS Manager via GUI anpassen kannst, und werden vor allen Dingen automatisch - sofern nicht vorhanden - lokal spätestens beim Start vom RemoteDesktop Dienst generiert.
Der eine WMIC Befehl löst dein Problem.
Okay. Ich gucke es mir nochmal genauer an. Vielen Dank
