Frage Wie kann ich Probleme mit der Zertifikatskonfiguration in Remotedesktopdiensten umgehen?


Ich richte eine Remotedesktopdienste-Farm ein und habe Probleme beim Konfigurieren von Zertifikaten für die Verwendung. Eine Demonstration des Problems, das ich sehe, kann in Schritt # 4 gefunden werden.

An dieser Stelle bin ich überzeugt, dass es Probleme mit der Benutzeroberfläche gibt, und suche nach Wegen, um sie herum. Gibt es eine Möglichkeit, Zertifikate in den Remotedesktopdiensten zu konfigurieren, sodass die Einstellungen gültig sind und in der grafischen Benutzeroberfläche angezeigt werden? Wenn nicht, kann ich dann überprüfen, ob die Einstellungen korrekt sind?

Schritt # 1 - Erstellen Sie das zu verwendende Zertifikat.

Ich habe ein Zertifikat für die Verwendung mit Web Access für Remotedesktop konfiguriert. Das Zertifikat wird in der Zertifikat-MMC auf meinem Remotedesktop-Verbindungsbroker gespeichert, und ich konfiguriere die Farm von diesem Computer aus. certificate

Ich habe festgestellt, dass RD Web Access ein eigenes Zertifikat generiert hat, das die folgenden Eigenschaften benötigt:

  • Erweiterte Schlüsselverwendung
    • Server-Authentifizierung
    • Client-Authentifizierung
      • Dies ist möglicherweise nicht erforderlich, aber das selbstsignierte Zertifikat enthält es.
  • Schlüsselverwendung
    • Digitale Unterschrift
    • Schlüsselvereinbarung
  • Alternativer Name des Antragstellers
    • DNS-Name = domain.com

Umweg zur selbstsignierten Zertifikaterzeugung

Als kleinen Umweg konnte ich ein Problem beim Erstellen von selbstsignierten Zertifikaten mit Powershell umgehen. Die Dokumentation für die Neu-RDCertificate Cmdlet gibt das folgende Beispiel:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Wenn Sie dies in die Shell eingeben, wird eine Fehlermeldung angezeigt, die besagt, dass eine Funktion, Get-Server kann nicht gefunden werden. Vor der Verwendung New-RDCertificate, müssen Sie das RemoteDesktop-Modul mit importieren Import-Module RemoteDesktop.

Schritt 2 - Beobachten Sie das Standardverhalten

Wenn Sie das Dialogfeld Bereitstellungseigenschaften das erste Mal aufrufen, indem Sie zu Server-Manager -> Remotedesktopdienste -> Sammlungen navigieren und in der Dropdown-Liste "TASKS" in der Gruppierung "COLLECTIONS" die Option "Bereitstellungseigenschaften bearbeiten" wählen, wird das folgende Fenster angezeigt : enter image description here

Dieses Fenster ist irreführend, weil das level Das Feld wird als "Nicht konfiguriert" aufgeführt. Wenn ich richtig verstehe, verwenden alle drei Rollendienste ein selbstsigniertes Zertifikat. Für die RD Web Access-Rolle kann dies durch einen Besuch der Website überprüft werden: certificate error

Das verwendete Zertifikat erscheint auch in der MMC Zertifikate: certificates MMC showing the RD Web Access certificate

Schritt # 3 - Neues Zertifikat vergeben

Im Dialogfeld Bereitstellungseigenschaften kann ich mein vorhandenes Zertifikat auswählen. Das Zertifikat muss in der Zertifikat-MMC der lokalen Computer im Zertifikatspeicher "Personal" abgelegt werden. Der private Schlüssel muss exportierbar sein und Sie müssen das Passwort angeben. Ich habe mein Zertifikat vorübergehend in eine Datei mit dem Namen exportiert temp.pfx mit einem Passwort, und dann von dort in Remote Desktop Services importiert.

Sobald dies geschehen ist, zeigt die GUI an, dass sie bereit ist, die neue Konfiguration zu akzeptieren. ready to accept certificate

Sobald ich auf "Übernehmen" klicke, zeigt die GUI Erfolg an. enter image description here

Dies kann überprüft werden, indem Sie die Web Access-Website ein zweites Mal besuchen. Es liegt kein Zertifikatfehler vor. enter image description here

Schritt 4 - Die GUI behält ihren Status nicht bei

Wenn die GUI geschlossen und erneut geöffnet wird, scheinen alle diese Einstellungen verloren zu gehen. settings are lost

Tatsächlich wird das von mir konfigurierte Zertifikat weiterhin verwendet. Ich kann weiterhin auf die Web Access-Website von Remotedesktop ohne jegliche Zertifikatfehler zugreifen.

Seltsamerweise, wenn ich die Schaltfläche "Create new certificate ..." verwende, um ein selbstsigniertes Zertifikat zu generieren, wird dieses Fenster auf eine "Untrusted" -Ebene aktualisiert. Diese Einstellung wird dann durch Öffnen und Schließen des Dialogfelds Eigenschaften von Bereitstellung beibehalten.

Kann ich irgendetwas tun, damit meine Einstellungen zu bleiben scheinen? Ich habe das Gefühl, dass etwas nicht stimmt, wenn die GUI behauptet, dass ich Zertifikate nicht vollständig konfiguriert habe.


31
2018-02-08 17:50


Ursprung


Dies ist eine sehr durchdachte Frage. Kudos. - Ryan Ries
Ausgezeichnete Frage; Schade, kann nicht mehr + 1's zuweisen. Habe kein Labor zum Testen, aber einige gute Links gefunden: technet.microsoft.com/en-us/library/cc730805.aspx. technet.microsoft.com/en-us/library/cc725949.aspx  youtube.com/watch?v=D6UBsuCuJs8 und rivald.blogspot.com/2011/06/... Ebenfalls: blog.kristinlgriffin.com/2010/07/... - Lizz
Noch ein Glück, Michael? - Lizz
@Lizz Soweit ich feststellen kann, wird das Zertifikat, das wir für den RD Web Access-Rollendienst verwenden, von den Clients akzeptiert. Die Benutzeroberfläche meldet weiterhin "Nicht konfiguriert", obwohl sie tatsächlich das angegebene Zertifikat verwendet. - Michael Steele
Wie deine Unschärfe. Nicht die traditionelle Art. - StackExchange User


Antworten:


Ich habe gestern unsere Farm überprüft und gemerkt, dass es Windows 2008 ist ... Dein ist 2012. Ich bin mir sicher, dass es große Unterschiede gibt, aber ich hoffe meine Info hilft.

MMC öffnen -> Zertifikate -> Computer account Ich sehe 2 Zertifikate im Ordner "personal / Certificates":

  • Selbstsigniertes Zertifikat (gleicher Aussteller und Betreff)
  • Zertifikat ausgestellt von unserer Domain CA

Das selfsigned zeigt einen Fehler in den Details an, hat Ihr Zertifikat den gleichen Fehler? Error

Um diesen Fehler zu beheben, kopieren Sie einfach das Zertifikat aus dem Unterverzeichnis "personal / Certificates" in "Trusted Root Certification Authorities / Certificates". Mit diesem Schritt gibt das gleiche Zertifikat keinen Fehler. OK Certificate

Danach gibt es nur zwei Stellen, an denen Sie das Zertifikat (in RDS Windows 2008) konfigurieren, das ich gefunden habe.

Unser RemoteApp Manager zeigt: Main

Die Einstellungen für die digitale Signatur: DSS

Und in der Konfiguration des RD-Sitzungshosts in den Einstellungen der Verbindung: RDSHC

Am Ende, und wenn ich mich richtig erinnere, haben wir es gelöst, indem wir alle Optionen überprüft haben, die Ereignisanzeige, keine Zertifikatsfehler gemacht, einige lokale Gruppen bevölkert und ihnen Zugriff durch die Sicherheitsrichtlinie gewährt haben ...

Viel Glück.

---- Aktualisierte ----

Denken Sie daran, das Benutzerprofil, die Aussteller-CA oder das Zertifikat (wenn es selbst signiert ist) in die "Vertrauenswürdigen Stammzertifizierungsstellen / Zertifikate" zu importieren, damit der Client keinen Zertifikatsfehler erhält. Dieser Punkt war in unserem System wichtig.


2
2018-03-25 16:50



Danke für die Information. Wir verwenden Zertifikate, die von unserer eigenen Zertifizierungsstelle signiert wurden. Das Problem, das ich habe, ist einzigartig für Windows Server 2012. Die GUI behauptet, dass Zertifikate nicht richtig oder gar nicht konfiguriert sind. - Michael Steele


Ich hatte das gleiche Problem und fand die Lösung. Es ist alles, wie Sie die Zertifikatvorlage erstellt und das Zertifikat angefordert haben.
Hier ist die Lösung:

  1. Erstellen Sie eine Zertifikatvorlage, indem Sie die Computervorlage duplizieren
  2. Bearbeite das neue Zertifikat und diese zwei wichtigen Mods 2a. Erlaube privaten Schlüssel exportieren 2b. Wählen Sie auf der Registerkarte Antragstellername die Option "In der Anfrage angeben" aus
  3. Veröffentlichen Sie die neue Vorlage
  4. Erstellen Sie eine neue Anfrage und wählen Sie die neue Vorlage
  5. Fügen Sie Common Name und DNS für das RDWeb hinzu. (Ich habe alle RD Farm Server hinzugefügt)

Beispiel:

CN = rdweb.domain.local

CN = rdcb.domäne.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domäne.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Fügen Sie rdweb.domain.local dem Anzeigenamen hinzu und generieren Sie das Zertifikat
  2. Exportieren Sie das Zertifikat mit privat
  3. In RD-Bereitstellungskonsole importieren

Sie tun alles, und Level wird vertraut und Status OK


2
2018-02-17 16:50