Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann man mit OpenSSL ein Zertifikat zum signieren von RDP-Dateien erstellen?

Frage Microsoft Windows Server

Mitglied: CaptainChaos

CaptainChaos (Level 1) - Jetzt verbinden

07.04.2011, aktualisiert 15:31 Uhr, 12970 Aufrufe, 10 Kommentare

Welche Eigenschaften muß ein Zertifikat haben, welches mit OpenSSL erstellt wurde, um RDP-Dateien zu signieren?

Wir haben eine Farm mit 2 Terminalservern (2008 R2). Soweit funktioniert alles, bis auf das Signieren der RemoteApps.
Wenn ich unter dem RemoteApp-Manager ein Zertifikat auswählen will, dann ist dort keins vorhanden.

Könnt ihr mir weiterhelfen?
Mitglied: DerWoWusste
07.04.2011 um 16:44 Uhr
Du kannst doch im RemoteApp-Manager auf der Startseite eins festlegen, oder nicht? Oder scheitert es am Erstellen?
Bitte warten ..
Mitglied: CaptainChaos
07.04.2011 um 17:27 Uhr
Auf der RemoteApp-Manager-Startseite gibt es den Punkt "Einstellungen für digitale Signatur Ändern" und dort könnte man dann ein Zertifikat hinterlegen, wenn denn eins angezeigt wird.
Also ich würde sagen es scheitert am Erstellen. Wir nutzten für unsere Serverzertifikate OpenSSL. Für Terminalserver Gateway und für die Web Access Seite wurde das Serverzertifikat, welches wir mit OpenSSL erstellt haben, akzeptiert. Doch leider funktioniert dies nicht zum signieren der Apps.
Bitte warten ..
Mitglied: DerWoWusste
07.04.2011 um 20:38 Uhr
Ich hatte keine Probleme damit.
Aus der Hilfe:
To configure the digital certificate to use
On the RD Session Host server, open RemoteApp Manager.
To open RemoteApp Manager, click Start, point to Administrative Tools, point to Remote Desktop Services, and then click RemoteApp > Manager.
In the Actions pane of RemoteApp Manager, click Digital Signature Settings. (Or, in the Overview pane, next to Digital Signature Settings, click Change.)
Select the Sign with a digital certificate check box.
In the Digital certificate details box, click Change.
In the Select Certificate dialog box, select the certificate that you want to use, and then click OK.
Note
The Select Certificate dialog box is populated by certificates that are located in the local computer's certificates store or in your personal certificate store. The certificate that you want to use must be located in one of these stores.

Das Zertifikat, das ich nutze, hat meine CA auf dem DC erstellt und es hat die Zwecke
Proves your identity to a remote computer
Ensures the identity of a remote computer
Bitte warten ..
Mitglied: CaptainChaos
08.04.2011 um 08:09 Uhr
Wo man das Zertifikat hinterlegt ist mir schon klar, doch wie gesagt, es wird leider keins angezeigt, wleches ich auswählen könnte.
Als Zertifikatszweck habe ich "Garantiert die Identität eines Remotecomputers".

Was ist denn bei den Zertifikatdetails zusehen? Öffentlicher Schlüssel, Schlüsselverwendung, Erweiterte Schlüsselverwendung
Bitte warten ..
Mitglied: DerWoWusste
08.04.2011 um 10:19 Uhr
Dir fehlt einer meiner genannten Zwecke, vielleicht ist es da.
Bei Details steht:
Public Key: RSA (2048 Bits)
Schlüsselverwendung: Digitale Signatur, Schlüsselverschlüsselung (a0)
erw. Schl.verw.: Clientauthentifizierung (1.3.6.1.5.5.7.3.2) Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
Bitte warten ..
Mitglied: CaptainChaos
13.04.2011 um 13:30 Uhr
Ich habe mir jetzt nochmal ein Zertifikat mit den gleichen Eigenschaften erstellt, wie von dir beschrieben.
Wo hast du das Zertifikat auf dem Client hinterlegt? Ich bekomme nämlich noch eine Warnung beim Starten der RemoteApp.
Bitte warten ..
Mitglied: DerWoWusste
13.04.2011 um 19:01 Uhr
Wäre schön zu wissen, welche Warnung Du erhältst. Vermutlich liegt das Zert. richtig (ich habe es per GPO zugewiesen), nur der Fingerprint der RemoteApp muss vom User noch angenommen werden ->dies geht widerum nicht per GPO! Ich habe einen Workaround dazu gewählt und den Fingerprint als Regeintrag verteilt.
Bitte warten ..
Mitglied: DerWoWusste
14.04.2011 um 15:15 Uhr
Edit zum Fingerprint: Geht doch! Siehe http://www.b4z.co.uk/
Create a new Group Policy object via the Group Policy Management Console.

2. Edit the GPO and navigate to the following location, User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.

3. Within the Remote Desktop Connection Client folder double click the "Specify SHA1 thumbprints of certificates representing trusted .rdp publishers" group policy object and check the enabled radio button.

4. Now open the SSL certificate you are using for RemoteApp signing, click the Details tab and then scroll down the details pane until you see the "Thumbprint" item. Click the thumbprint entry and you should now see a large alphanumeric string, copy this string and paste the contents into the "Comma separated list of SHA1 trusted certificate thumbprints" box in the GPO we were editing in step 3.

5. Now that you have pasted the thumprint string into the GPO, remove all space and capitalise all lower case letters of the string. For example, if your thumprint looks like this, "95 1f 22 02 c3 6e a6 b0 64 0c db 8e b5 4a bb 98 0c bd ed af" once you have pasted it into the GPO, you need to modify it to read like this, "951F2202C36EA6B0640CBD8EB54ABB980CBDEDAF".

6. Close down the GPO editor and then link the created GPO to a users organisational unit where the RemoteApp users reside. Log a RemoteApp user off and back on again and test the RemoteApp program, you should now hopefully see that the certificate warning is suppressed and the application loads straight away.

PS: Großbuchstaben waren bei mir nicht nötig.

Ediths Edit zum Edit: Zu Deiner vorigen Frage: Pack das Zerti bei den Trusted publishers in der GPO rein.
Bitte warten ..
Mitglied: CaptainChaos
14.04.2011 um 16:15 Uhr
Es handelt sich um eine "Warnmeldung":

Von einer Website wird versucht, ein RemoteApp-Programm zu starten. Stellen Sie vor dem Ausführen des Programms sicher, dass Si
Durch dieses RemoteApp-Programm könnte der lokale oder der Remotecomputer beschädigt werden. Stellen Sie vor dem Herstellen der Verbindung zum Ausführen des Programms sicher, dass Sie dem Herausgeber vertrauen.


Als Herausgeber wird das Zertifikat der Farm mitgegeben. Das CA-Zertifikat ist in Vertrauenswürdige Zertifizierungsstellen hinterlegt und das der Farm habe ich in vertrauenswürdige Herausgeber gepackt.

Die Fingerprint-Geschichte teste ich morgen mal aus - Danke!
Bitte warten ..
Mitglied: CaptainChaos
15.04.2011 um 08:35 Uhr
So... ich habe es ausprobiert. Ich habe den Fingerabdruck des Zertifikats wie beschrieben unter Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktopverbindungs-Client\\SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen hinterlegt und siehe da, es funktioniert.

Toll Mission erfüllt. Vielen Dank an DerWoWusste!!!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows 10
gelöst RDP Verbindung zu Windows 10 Prof. mit Zertifikat sichern (2)

Frage von Windows11 zum Thema Windows 10 ...

Windows Server
RDP File per GPO auf Thin Client Desktop erstellen (10)

Frage von sayohh zum Thema Windows Server ...

Verschlüsselung & Zertifikate
Server Zertifikat für PfSense mit ADCS erstellen (6)

Frage von theoberlin zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...