SBS 2008 Remotewebsite Zertifikat für Terminalserver

26/11/2009 - 10:13 von Thomas | Report spam
Guten Morgen,

ich habe seit ein paar Wochen einen SBS 2008 und einen Server 2008 als
Terminalserver am Laufen. Soweit làuft alles ganz gut und stabil!
Ein kleines Problem habe ich mit dem Zertifikat, welches ich benötige, um
per Remotewebsite auf den Terminalserver zu gelangen.
Nach der Anmeldung an der Remotewebsite steht der TS auch zur Auswahl.
Nach Bestàtigung der RDP muss ich mich ein zweites Mal authentifizieren,
dann kommt die Meldung:
"VBScript: Remotedesktop getrennt. Zum Herstellen der Verbindung mit dem
Remote-Webarbeitsplatz müssen Sie das richtige Zertifikat installieren."

Der SBS stellt das Zertifikat selbst aus (beim Durchführen des Assistenten
"Internetadresse einrichten"), welches ich auch schon am Browser (IE8) auf
meinem Rechner installiert habe. Ich habe auch schon versucht das Zertifikat
von Eigene Zertifikate in vertrauenswürde Zertifizierungsstellen zu schieben
(manuell und auch per Export / Import). Es bringt nix.
Leider bin ich in Zertifikaten nicht wirklich fit, bràuchte deshalb hier ein
wenig Unterstützung...
Vielleicht kennt jemand das Problem und kann mir helfen?!?

Viele Grüße
Thomas Leist
 

Lesen sie die antworten

#1 Tobias Redelberger [MVP - SBS]
26/11/2009 - 11:52 | Warnen spam
Hi Thomas,

ich habe seit ein paar Wochen einen SBS 2008 und einen Server 2008 als
Terminalserver am Laufen. Soweit làuft alles ganz gut und stabil!
Ein kleines Problem habe ich mit dem Zertifikat, welches ich benötige, um
per Remotewebsite auf den Terminalserver zu gelangen.
Nach der Anmeldung an der Remotewebsite steht der TS auch zur Auswahl.
Nach Bestàtigung der RDP muss ich mich ein zweites Mal authentifizieren,
dann kommt die Meldung:
"VBScript: Remotedesktop getrennt. Zum Herstellen der Verbindung mit dem
Remote-Webarbeitsplatz müssen Sie das richtige Zertifikat installieren."

Der SBS stellt das Zertifikat selbst aus (beim Durchführen des Assistenten
"Internetadresse einrichten"), welches ich auch schon am Browser (IE8) auf
meinem Rechner installiert habe. Ich habe auch schon versucht das
Zertifikat
von Eigene Zertifikate in vertrauenswürde Zertifizierungsstellen zu
schieben
(manuell und auch per Export / Import). Es bringt nix.
Leider bin ich in Zertifikaten nicht wirklich fit, bràuchte deshalb hier
ein
wenig Unterstützung...
Vielleicht kennt jemand das Problem und kann mir helfen?!?



Hintergrund: Der RDP-Client verlangt verpflichtend ein vertrauenswürdiges
SSL-Zertifikat für das Terminal-Server Gateway (Basistechnologie für RDP via
Remotewebsite).

S.a: Terminal Services Gateway (TS Gateway) - Are there any special
considerations?
[..]
TS Gateway [receives] RDP traffic [from port 443] by using an HTTP Secure
Sockets Layer/Transport Layer Security (SSL/TLS) tunnel. Because most
corporations open port 443 to enable Internet connectivity, TS Gateway takes
advantage of this network design to provide remote access connectivity
across multiple firewalls.
[..]
You must obtain an externally trusted SSL certificate for the TS Gateway
server if you do not have one already. By default, on the TS Gateway server,
the RPC/HTTP Load Balancing service and the IIS service use Transport Layer
Security (TLS) 1.0 to encrypt communications between [RDP] clients and TS
Gateway servers over the Internet. For TLS to function correctly, you must
install an SSL certificate on the TS Gateway server.
[..]
Source: http://technet.microsoft.com/en-us/...31264.aspx


SBS 2008 installiert (im Gegensatz zum SBS 2003, welcher lediglich ein
selbstsigniertes Root-Zertifikat mittels selfcert erstellt) seine eigene CA
(Certification Authority -> Zentrale Zertifikatsstelle - s.a.
http://de.wikipedia.org/wiki/Zertifizierungsstelle).

Deswegen musst Du (anders als beim SBS 2003, wo Root und Leaf-Certificate
ein und das selbe Zertifikat ist) NICHT das Webserver-Zertifikat
(Leaf-Certificate) als vertrauenswürdig einstufen, sondern das
Root-Certificate der CA des SBS 2008 mittels dem vorgefertigtem Install
Package:

"C:\Users\Public\Downloads\Install Certificate Package.zip"
- bzw. -
"\\<servername>\Public\Downloads\Install Certificate Package.zip"

oder per Hand mittels schon wàhrend dem Erstellen exportiertem
Root-Certificate:

"C:\Users\Public\Downloads\Certificate Distribution
Package\SBSCertificate.cer"
- bzw. -
"\\<servername>\Public\Downloads\Certificate Distribution
Package\SBSCertificate.cer

dem jeweiligen Client in deren lokalen Zertifikatsspeicher unter
"Vertrauenswürdige Stammzertifizierungsstellen" hinzufügen.

Hinweis: Domànenmitglieder wird immer mittels Active Directory (AD) die
AD-integrierte CA automatisch als vertrauenswürdig eingestuft - sprich: das
Rootzertifikat wird automatisch den Domànenmitglieder in deren lokalen
Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen"
ausgerollt.

S.a.: Certificate Autoenrollment in Windows
[..]
Autoenrollment automatically downloads root certificates and
cross-certificates from the Active Directory whenever a change is detected
in the directory
[..]
Source: http://technet.microsoft.com/en-us/...56981.aspx


Mehr Informationen:

How Certificates Work [Allg. gültig auch für Windows Server 2008]
http://technet.microsoft.com/en-us/...76447.aspx

Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email:
Web: http://www.starnet-services.net

Ähnliche fragen