Discussion:
SBS 2008 Remotewebsite Zertifikat für Terminalserver
(zu alt für eine Antwort)
Thomas
2009-11-26 09:13:01 UTC
Permalink
Guten Morgen,

ich habe seit ein paar Wochen einen SBS 2008 und einen Server 2008 als
Terminalserver am Laufen. Soweit läuft alles ganz gut und stabil!
Ein kleines Problem habe ich mit dem Zertifikat, welches ich benötige, um
per Remotewebsite auf den Terminalserver zu gelangen.
Nach der Anmeldung an der Remotewebsite steht der TS auch zur Auswahl.
Nach Bestätigung der RDP muss ich mich ein zweites Mal authentifizieren,
dann kommt die Meldung:
"VBScript: Remotedesktop getrennt. Zum Herstellen der Verbindung mit dem
Remote-Webarbeitsplatz müssen Sie das richtige Zertifikat installieren."

Der SBS stellt das Zertifikat selbst aus (beim Durchführen des Assistenten
"Internetadresse einrichten"), welches ich auch schon am Browser (IE8) auf
meinem Rechner installiert habe. Ich habe auch schon versucht das Zertifikat
von Eigene Zertifikate in vertrauenswürde Zertifizierungsstellen zu schieben
(manuell und auch per Export / Import). Es bringt nix.
Leider bin ich in Zertifikaten nicht wirklich fit, bräuchte deshalb hier ein
wenig Unterstützung...
Vielleicht kennt jemand das Problem und kann mir helfen?!?

Viele Grüße
Thomas Leist
Tobias Redelberger [MVP - SBS]
2009-11-26 10:52:53 UTC
Permalink
Hi Thomas,
Post by Thomas
ich habe seit ein paar Wochen einen SBS 2008 und einen Server 2008 als
Terminalserver am Laufen. Soweit läuft alles ganz gut und stabil!
Ein kleines Problem habe ich mit dem Zertifikat, welches ich benötige, um
per Remotewebsite auf den Terminalserver zu gelangen.
Nach der Anmeldung an der Remotewebsite steht der TS auch zur Auswahl.
Nach Bestätigung der RDP muss ich mich ein zweites Mal authentifizieren,
"VBScript: Remotedesktop getrennt. Zum Herstellen der Verbindung mit dem
Remote-Webarbeitsplatz müssen Sie das richtige Zertifikat installieren."
Der SBS stellt das Zertifikat selbst aus (beim Durchführen des Assistenten
"Internetadresse einrichten"), welches ich auch schon am Browser (IE8) auf
meinem Rechner installiert habe. Ich habe auch schon versucht das Zertifikat
von Eigene Zertifikate in vertrauenswürde Zertifizierungsstellen zu schieben
(manuell und auch per Export / Import). Es bringt nix.
Leider bin ich in Zertifikaten nicht wirklich fit, bräuchte deshalb hier ein
wenig Unterstützung...
Vielleicht kennt jemand das Problem und kann mir helfen?!?
Hintergrund: Der RDP-Client verlangt verpflichtend ein vertrauenswürdiges
SSL-Zertifikat für das Terminal-Server Gateway (Basistechnologie für RDP via
Remotewebsite).

S.a: Terminal Services Gateway (TS Gateway) - Are there any special
considerations?
[..]
TS Gateway [receives] RDP traffic [from port 443] by using an HTTP Secure
Sockets Layer/Transport Layer Security (SSL/TLS) tunnel. Because most
corporations open port 443 to enable Internet connectivity, TS Gateway takes
advantage of this network design to provide remote access connectivity
across multiple firewalls.
[..]
You must obtain an externally trusted SSL certificate for the TS Gateway
server if you do not have one already. By default, on the TS Gateway server,
the RPC/HTTP Load Balancing service and the IIS service use Transport Layer
Security (TLS) 1.0 to encrypt communications between [RDP] clients and TS
Gateway servers over the Internet. For TLS to function correctly, you must
install an SSL certificate on the TS Gateway server.
[..]
Source: http://technet.microsoft.com/en-us/library/cc731264.aspx


SBS 2008 installiert (im Gegensatz zum SBS 2003, welcher lediglich ein
selbstsigniertes Root-Zertifikat mittels selfcert erstellt) seine eigene CA
(Certification Authority -> Zentrale Zertifikatsstelle - s.a.
http://de.wikipedia.org/wiki/Zertifizierungsstelle).

Deswegen musst Du (anders als beim SBS 2003, wo Root und Leaf-Certificate
ein und das selbe Zertifikat ist) NICHT das Webserver-Zertifikat
(Leaf-Certificate) als vertrauenswürdig einstufen, sondern das
Root-Certificate der CA des SBS 2008 mittels dem vorgefertigtem Install
Package:

"C:\Users\Public\Downloads\Install Certificate Package.zip"
- bzw. -
"\\<servername>\Public\Downloads\Install Certificate Package.zip"

oder per Hand mittels schon während dem Erstellen exportiertem
Root-Certificate:

"C:\Users\Public\Downloads\Certificate Distribution
Package\SBSCertificate.cer"
- bzw. -
"\\<servername>\Public\Downloads\Certificate Distribution
Package\SBSCertificate.cer

dem jeweiligen Client in deren lokalen Zertifikatsspeicher unter
"Vertrauenswürdige Stammzertifizierungsstellen" hinzufügen.

Hinweis: Domänenmitglieder wird immer mittels Active Directory (AD) die
AD-integrierte CA automatisch als vertrauenswürdig eingestuft - sprich: das
Rootzertifikat wird automatisch den Domänenmitglieder in deren lokalen
Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen"
ausgerollt.

S.a.: Certificate Autoenrollment in Windows
[..]
Autoenrollment automatically downloads root certificates and
cross-certificates from the Active Directory whenever a change is detected
in the directory
[..]
Source: http://technet.microsoft.com/en-us/library/bb456981.aspx


Mehr Informationen:

How Certificates Work [Allg. gültig auch für Windows Server 2008]
http://technet.microsoft.com/en-us/library/cc776447.aspx
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: ***@starnet-services.net
Web: http://www.starnet-services.net
Thomas
2009-11-26 14:03:01 UTC
Permalink
Post by Tobias Redelberger [MVP - SBS]
Hi Thomas,
Hintergrund: Der RDP-Client verlangt verpflichtend ein vertrauenswürdiges
SSL-Zertifikat für das Terminal-Server Gateway (Basistechnologie für RDP via
Remotewebsite).
S.a: Terminal Services Gateway (TS Gateway) - Are there any special
considerations?
[..]
TS Gateway [receives] RDP traffic [from port 443] by using an HTTP Secure
Sockets Layer/Transport Layer Security (SSL/TLS) tunnel. Because most
corporations open port 443 to enable Internet connectivity, TS Gateway takes
advantage of this network design to provide remote access connectivity
across multiple firewalls.
[..]
You must obtain an externally trusted SSL certificate for the TS Gateway
server if you do not have one already. By default, on the TS Gateway server,
the RPC/HTTP Load Balancing service and the IIS service use Transport Layer
Security (TLS) 1.0 to encrypt communications between [RDP] clients and TS
Gateway servers over the Internet. For TLS to function correctly, you must
install an SSL certificate on the TS Gateway server.
[..]
Source: http://technet.microsoft.com/en-us/library/cc731264.aspx
SBS 2008 installiert (im Gegensatz zum SBS 2003, welcher lediglich ein
selbstsigniertes Root-Zertifikat mittels selfcert erstellt) seine eigene CA
(Certification Authority -> Zentrale Zertifikatsstelle - s.a.
http://de.wikipedia.org/wiki/Zertifizierungsstelle).
Deswegen musst Du (anders als beim SBS 2003, wo Root und Leaf-Certificate
ein und das selbe Zertifikat ist) NICHT das Webserver-Zertifikat
(Leaf-Certificate) als vertrauenswürdig einstufen, sondern das
Root-Certificate der CA des SBS 2008 mittels dem vorgefertigtem Install
"C:\Users\Public\Downloads\Install Certificate Package.zip"
- bzw. -
"\\<servername>\Public\Downloads\Install Certificate Package.zip"
oder per Hand mittels schon während dem Erstellen exportiertem
"C:\Users\Public\Downloads\Certificate Distribution
Package\SBSCertificate.cer"
- bzw. -
"\\<servername>\Public\Downloads\Certificate Distribution
Package\SBSCertificate.cer
dem jeweiligen Client in deren lokalen Zertifikatsspeicher unter
"Vertrauenswürdige Stammzertifizierungsstellen" hinzufügen.
Hinweis: Domänenmitglieder wird immer mittels Active Directory (AD) die
AD-integrierte CA automatisch als vertrauenswürdig eingestuft - sprich: das
Rootzertifikat wird automatisch den Domänenmitglieder in deren lokalen
Zertifikatsspeicher unter "Vertrauenswürdige Stammzertifizierungsstellen"
ausgerollt.
S.a.: Certificate Autoenrollment in Windows
[..]
Autoenrollment automatically downloads root certificates and
cross-certificates from the Active Directory whenever a change is detected
in the directory
[..]
Source: http://technet.microsoft.com/en-us/library/bb456981.aspx
How Certificates Work [Allg. gültig auch für Windows Server 2008]
http://technet.microsoft.com/en-us/library/cc776447.aspx
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Web: http://www.starnet-services.net
Hi Tobias,
ich dachte doppelt hält besser :)

Aber vielen Dank für deine Ausführungen!
Leider klappt das so immer noch nicht.
Das Root Zertifikat hatte ich schon in meinem lokalen Zertifikatspeicher in
den Vertrauenswürden Zertifizierungsstellen. Auch ein entfernen und
wiederholtes einbinden (einmal manuell und ein zweites Mal mit den Inst-Tool)
brachte keinen Erfolg.
Zu meinem Verständnis, das Root Zertifikat muss ich an der Stelle nur bei
mir lokal, bzw an dem Remoteclient installieren, nicht am TS selbst?!?

Muss ich das vielleicht irgendwie übernehmen (Dienst neu starten oder Cache
leeren)??
Spielt das Leaf-Zertifikat hier gar keine Rolle??

Gruß
Thomas

Loading...