Quantcast
Channel: Active Directory Forum
Viewing all articles
Browse latest Browse all 1144

AD Zertifikatdienste - Problem mit Sperrlisten bei Zertifikaten für RDP

March 16, 2014, 4:28 pm
$
0
0

Hallo!

Ich habe ein Problem mit der Absicherung von RDP Sitzungen über selbst erstellte Zertifikate auf einem bzw. mehreren Servern 2008R2. Den Werdegang beschreibe ich so kurz wie möglich:

  • in einer Windows Server 2008R2 Domäne habe ich auf einem Server die AD Zertifikatdienste installiert und eine Stammzertifizierungsstelle für die Domäne angelegt
  • dann habe ich eine Zertifikatvorlage zur Serverauthentifizierung erstellt und diese per GPO einem Testserver als Zertifikat für RDP Sitzungen mitgegeben ("Zertifikatvorlage für Serverauthentifizierung")
  • nach Anwendung der GPO auf dem Testserver wird das Zertifikat auch korrekt ausgestellt und bei einem RDP Verbindungsversuch verwendet
  • wenn ich mich jedoch nun von außerhalb (mittels VPN oder RD Gateway [der tadellos mit seinem Zertifikat funktioniert]) auf den Testserver verbinden möchte, erhalte ich den Fehler "Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden."

Ich verwende dazu einen PC mit Windows 8.1 und wenn ich die URL der Sperrliste in meinem Browser aufrufe, wird sie problemlos heruntergeladen. Hier verwende ich die URL, die ich im Zertifikat finde, welches mir in der Warnung angezeigt wird (siehe Screenshot). Auch certutil zeigt keine für mich sichtbaren Probleme. In den Zertifikatdiensten ist entsprechend die Veröffentlichung per HTTP aktiviert und auch von außen anonym erreichbar.

Im Knoten Unternehmens-PKI der Zertifikatdienste sind die Sperrlisten und die Delta Sperrliste mit dem Status "OK" und jeweils einer LDAP und der HTTP Adresse aufgeführt. Das Root Zertifikat meiner Stammzertifizierungsstelle liegt im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" des lokalen Windows 8.1 Computers. Auch die Zertifikatkette stimmt, das Server Zertifikat ist ein Knoten unterhalb des Root Zertifikats.

Ich könnte noch weitere Details nennen, will aber erst einmal keine überflüssigen Informationen geben da ich mein Wissen zu diesem Thema auch nur aus Foren und Tutorials habe. Über Hilfe zu diesem Problem wäre ich sehr dankbar und kann gern weitere Details und Infos geben. Natürlich ist das derzeit nur ein "Schönheitsfehler" der ignoriert werden kann wonach die RDP Verbindung auch funktioniert. Jedoch wäre eine saubere Lösung natürlich schön.

Vielen Dank!


Search
Viewing all articles
Browse latest Browse all 1144
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>