Forums Neueste Beiträge
 

Windows Server 2008 TS Web Access Remote Desktop Zertifikatswarnung

09/10/2008 - 15:17 von Henry.Gerloff | Report spam
Hallo Leute,

hab grad den ellenlangen Text geschrieben und dann doch das Problem
gefunden. Und die Teil-Lösung.

=wir haben einen 2008er TS Server mit Gateway und Web Access
installiert und via ISA 2006 veröffentlicht. Funzt soweit allet supi.
Aber...

Wenn man von einem XP SP2/SP3 Client Computer, egal ob Domain Member
oder Homeoffice, die Terminal Services Remote Desktop Web Connection"
nutzt, dann bekommt man beim Verbinden eine Zertifikatswarnung, wenn
man auf den 2008er TS per "Terminal Services Remote Desktop Web
Connection" zugreift. "Das Zertifikat stammt nicht von einer
vertrauenswürdigen Zertifizierungsstelle."

https://ts.firma.de/ts -> ISA 2006 -> Terminal Services Remote Desktop
Web Connection -> TS-SERVER.FIRMA.LOCAL

Wenn man von dem gleichen XP SP2 Rechner auf den TS Server (TS-
SERVER.FIRMA.LOCAL) via TS Gateway (TS.FIRMA.DE) zugreift, kommt keine
Fehlermeldung.

Es wird eine interne 2003er PKI eingesetzt und das interne rootCA
Zertifikat ist als normales *.cer Zertifikat und als Chained-
Zertifikat auf den jeweiligen internen/externen Clients installiert.

Wenn man das Zertifikat im RDP-Dialog anzeigt, dann wird
offensichtlich nicht die Vertrauenskette zum rootca-Zertifikat
hergestellt. Schaue ich mir das Zert direkt auf dem TS Server an,
passt die Kette.
==
Problem erkannt, Gefahr (noch nicht) gebannt. Das Zertifikat wurde
korrekt als nicht vertrauenswürdig erkannt, weil war es auch nicht.
Self Signed das Ding.
Alle von der internen CA ausgestellten Zertifikate waren korrekt in
den verschieden TS und IIS Optionen eingestellt. Im lokalen
Zertifikatspeicher vom Computer war es auch nicht. Wo also kommt das
Self Signed Zert her? Irgendeine Einstellung die ein vorhandenes noch
zwischenspeichert?

Also nochmal alles durchgeschaut. Per Zufall habe ich RDP-TCP
Einstellungen der TS Konfiguration geöffnet und durchgeklickt. Zurück
auf demAllgemein-Reiter sehe ich unten "Certificate: Auto
generated"...na Klasse...
Also flux das von der PKI-CA ausgestellte vorhandene Computer-
Zertifikat ausgewàhlt und es funzte natürlich immernoch nicht. Trotz
abmelden und Neuaufbau.

Wieder in die RDP-TCP Einstellungen der TS Konfiguration und siehe da,
es steht wieder auf "Auto generated". Nochmal das Zertifikat
ausgewàhlt, alles bestàtigt und geschlossen. Wieder zurück in die
Einstellungen und wieder "Auto generated". Hmm also die Terminal
Dienste neustarten. Auch nix gebracht. Vieleicht liegts ja am FIPS?
Das hat aber schon 2048Bit. Sollte für FIPS doch eigendlich passen?
Also mal eben auf "Client Compatible" gestellt und Zertifikat neu
ausgewàhlt.

Tataaaa!! Das Zertifikat bleibt drin. Und ein simples Trennen und neu
Verbinden auf die Session bringt keine Zertifikatswarnung mehr. In den
Sicherheitsdetails steht jetzt auch das PKI-Zertifikat des TS Servers.

Hat jemand nen Link um FIPS-Komforme Zertifikat-Vorlagen zu erstellen?
Hat jemand gezàhlt wie oft ich Zertifikat geschrieben hat? :-)

Liebe Grüße,

Henry
 

Lesen sie die antworten

#1 Jens Baier
12/10/2008 - 12:14 | Warnen spam
Hi Henry,

Problem erkannt, Gefahr (noch nicht) gebannt. Das Zertifikat wurde
orrekt als nicht vertrauenswürdig erkannt, weil war es auch nicht.
Self Signed das Ding.





ACK!

Zertifikatspeicher vom Computer war es auch nicht. Wo also kommt das
Self Signed Zert her? Irgendeine Einstellung die ein vorhandenes noch
zwischenspeichert?





Du hast bei der Installation dem TS gesagt, er soll ein selbstsigniertes
verwenden.

Hat jemand nen Link um FIPS-Komforme Zertifikat-Vorlagen zu erstellen?





das kommt bei Windows 2008 mit CNG. Also eine CNG Vorlage auswaehlen oder
duplizieren.

Hat jemand gezàhlt wie oft ich Zertifikat geschrieben hat? :-)





das eine oder andere mal.
Waerst Du letzten Donnerstag in Braunschweig bei Belnet gewesen, haettest Du
das mit den Zertifikaten sehen koennen. Habe nen Vortrag zu TS 2008, Gateway
und NAP gehalten.

Gruss Jens
www.it-training-grote.de/blog
www.it-training-grote.de
www.nt-faq.de

Ähnliche fragen