Terminalserver über DynDNS mit Zertifikaten absichern geht nicht

15/09/2009 - 14:53 von berlinpower | Report spam
Hallo!

Bevor ich mit meiner Frage beginne, muss ich sagen, dass ich schon das ganze
Forum und Google abgegrast habe. Keine Lösung gefunden.

Nun zu meinem Problem:
Hintergrund: Ich möchte über eine DynDNS-Adresse (WAN-IP) einen
Terminalserver innerhalb eines Windows 2003 Netzwerkes
erreichen. Dazu wurde Port 3389 auf dem Router an den Terminalserver
weitergeleitet. Funktioniert wunderbar, aber nicht sicher.
Jetzt habe ich auf dem Terminalserver die Zertifikatedienste installiert.
Danach über die Adresse: localhost\certsrv
ein Zertifikat erstellt. Als Auswahl habe ich "Webserver" gewàhlt.

Das ausgestellte Zertifikat wurde installiert. Jetzt habe ich die
Terminaldienstekonfiguiration auf dem Terminalserver aufgerufen,
und bei Verbindungen ->RDP Verbindungen -> die Eigenschaftsseite aufgerufen.
Dort habe ich bei "Allgemein" ganz unten das vorher erstellte Zertifikat
ausgewàhlt, und bei Sicherheitsstufe "SSL" ausgewàhlt.

Nun kam der Test. Auf einem PC ausserhalb des Netzwerkes habe ich den RDP
Client aufgerufen, (habe hier keinerlei Zertifikate installiert, ich will nur
testen, ob die Verbindung abgelehnt wird) und als Zieladresse die "DynDNS"
ADresse eingetragen. Dann kam eine Meldung, dass die Identitàt des
Computers nicht überprüft werden kann, und ob ich die Verbindung trotzdem
hertsellen will.

Wenn ich jetzt "Ja" sage, bekomme ich eine Verbindung.

Nun meine Fragen:
Wieso bekomme ich eine Verbindung. Ich dachte, durch die Auswahl eines
Zertifikatzes auf der Terminalserverseite-RDP,
können nur Clients eine Verbindung aufnehmen, die bei sich das Zertifikat
installiert haben !

Was mache ich falsch? Alle Beschreibungen im Internet über das Thema,
erkàren es so wie ich es gemacht habe. Wie schon erwàhnt, will ich nicht nur
eine sichere Verbindung was den Datenstrom betrifft (wird durch die obene
beschrieben Maßnahme erfüllt), sondern, dass sich nur Clients verbinden
können, die das Zertifikat installiert haben. Ist das Zertifikat auf der
Clientseite nicht installiert, soll sich der Client nicht verbinden dürfen.


Hier noch eine Übersicht was ich alles schon probiert habe:
1. Habe bei der Erstellung des Zertifikates auf der Terminalserverseite,
statt die Vorlage "Webserver" auch noch andere probiert.
Kein Erfolg. Anscheinend ist so, dass nur Zertifikate die als Vorlage
"Webserver" haben, auf der Eigenschaftsseite
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP ->
Zertifikate" erscheinen.

2.Ich habe bei der Installation der Zertifizierungsstelle, als Option
"Stammzertifizierungsstelle des Unternehmens",
als auch mal "Eigene Stammzertifizierungsstelle" ausgewàhlt. Wàhlt man das
Zweite, hat man eine andere Vorlagenauswahl
wie z.B. Computerauthentifizierung oder IPSEC ... Wàhlt man aber z.B.
"Computerauthentifizierung", wird das Zertifikat
bei "Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP ->
Zertifikate" nicht angezeigt. Wie schon erwàhnt, nur über
"Webserverzertifikatsvorlagen" erstellte Zertifikate, werden bei
"Terminalsdienstekonfiguration -> Verbindungen -> RDP-TCP -> Zertifikate"
angezeigt.

Hat jemand eine Idee wie ich mein Problem lösen kann. (Terminalserver über
DynDNS mit Zertifikate absichern. Wenn auf dem Client das Zertifikat nicht
installiert ist, soll es keine Verbindung geben).

Vielleicht gibt es noch eine andere Lösung (aber ohne Smartcard).
Ich weiss, dass das was ich vorhabe nicht 100% sicher ist, wird aber so
gewünscht.

Umgebung: Windows 2003 Server (DC) + 1 x Windows 2003 Terminalserver + 1 x
Windows 2003 Server inkl. Exchange (2003)

Grüße

Stefan
 

Lesen sie die antworten

#1 Amos Walker
18/09/2009 - 07:45 | Warnen spam
Da du selber die CA installierst hast ( Terminalserver ist übrigens der
falsche Ort) sind das quasi alles sebstsignierte Zertifikate.
Daran ist nichts falsch oder unsicher, die Clients vertrauen nur nicht
automatisch deiner CA, weil sie die nicht kennen.

Installiere das Root-CA Zertifikat auf allen Clients als vertrauenswürdige
Stammzertifizierungsstelle und alles ist gut und es kommt keine Warnung.

Auf dem Terminalserver ein Zertifikat zu verwenden bedeutet nicht
automatisch, dass du dich als Client ebenfalls mit einen Zertifikat
authentifizierst. Es bedeutet lediglich, dass der Server den RDP Traffic per
SSL verschlüsselt und du bei der Kontaktaufnahme prüfen kannst ob der Server
der ist, der er vorgibt zu sein indem du das Zertifikat prüfst. That's all
.

Grüße
Amos

Ähnliche fragen