Zertifikat wird nicht akzeptiert, wenn RDP mittels rdp-Datei gestartet wird

erikro
Goto Top
Moin,

ich bin einigermaßen am verzweifeln. Ich habe meine PKI eingerichtet. Die CA ist vertrauenswürdige Stammzertifizierungsstelle. Sie ist Vertrauenswürdiger Herausgeber. Beides wird per GPO verteilt. Der Terminalserver fordert sein Zertifikat automatisch an. Das Zertifikat ist in den Bereitstellungseigenschaften eingetragen. Die Stufe der Bereitstellung ist "vertrauenswürdig".
bereitstellung
(RD-Gateway brauchen wir nicht.)

Ich habe gefühlt 100 Webseiten durchgewühlt, ob irgend etwas vergessen wurde oder falsch gelaufen ist. Überall steht das Gleiche und es ist alles richtig. Nun kommt der Witz: Starte ich die RDP-Verbindung über das Startmenü -> Remote-Desktop, trage dort den Namen des TS händisch ein und klicke auf verbinden, dann verbindet er sich ohne Probleme. Das kleine Schloss teilt mir mit, dass die Identität des Remotecomputers mit einem Zertifikat und Kerberos überprüft wurde.
identitaetok

Das Zertifikat ist das, welches ich eingerichtet habe. Der Pfad stimmt. Alles so, wie es sein soll.
zertifikat

Speichere ich das Ganze als RDP-Datei auf dem Desktop und verbinde mich danach mit Doppelklick, dann kommt ein Zertifikatsfehler "Unbekannter Herausgeber".
unbekannterherausgeber

Verbinde ich mich, wird wieder das Schloss angezeigt und, wenn ich draufklicke, bekomme ich wieder mitgeteilt, dass alles ok ist. Das Zertifikat ist dasselbe. Warum will er sich dann nicht mittels der RDP-Datei verbinden? Gibt es da noch einen Trick?

Systeme: Sowohl TS als auch DC und CA sind Server 2012 R2 auf dem aktuellen Stand. Zugegriffen wird mit Windows 7 Pro auch aktuell.

Liebe Grüße

Erik

Content-Key: 421992

Url: https://administrator.de/contentid/421992

Ausgedruckt am: 13.08.2022 um 02:08 Uhr

Mitglied: nighthawk1981
Lösung nighthawk1981 25.02.2019 um 12:11:29 Uhr
Goto Top
Hi,

das Problem kenn ich.

Nutz das Tool rdpsign um die rdp-Datei zu signieren. Dann ist der Hinweis auch weg.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Gruß

Daniel
Mitglied: erikro
erikro 25.02.2019 um 12:44:51 Uhr
Goto Top
Moin,

Zitat von @nighthawk1981:
das Problem kenn ich.

Das ist schonmal gut. face-wink

Nutz das Tool rdpsign um die rdp-Datei zu signieren. Dann ist der Hinweis auch weg.

Und welches Zertifikat nehme ich da zum signieren? Nehme ich das meiner CA, was mit logisch erschien, meldet er, dass das Zertifikat nicht gefunden werden kann. ace-sad"

Liebe Grüße

Erik
Mitglied: erikro
erikro 25.02.2019 um 13:11:18 Uhr
Goto Top
Zitat von @erikro:
Und welches Zertifikat nehme ich da zum signieren? Nehme ich das meiner CA, was mit logisch erschien, meldet er, dass das Zertifikat nicht gefunden werden kann. ace-sad"

Ich hab's rausgefunden. Es ist das Zertifikat des TS selbst. Und nun löpt dat. Danke Dir!