Wenn ein Windows-Host über mehrere RDP-Zertifikate verfügt. Werden beim Verbinden alle überprüft oder nur das erste gefundene?
Ich habe ein RDP-Zertifikat von einer Stammzertifizierungsstelle mit einem jetzt ungültigen OCSP-Standort im AIA bereitgestellt. Die Verbindung zu allen Hosts erfordert jetzt offensichtlich mehr Zeit, um die ungültige OCSP-Adresse zu überprüfen. Ich würde zusätzliche gültige RDP-Zertifikate bereitstellen, bin mir aber nicht sicher, wie beide Zertifikate gehandhabt werden. Wenn ich richtig liege, wird es sich nicht die Mühe machen, abgelaufene Zertifikate zu überprüfen.
Aber würde es alle RDP-Zertifikate prüfen, ob sie nicht abgelaufen sind, und sich dann natürlich trotzdem über das ungültige OCSP beschweren?
Ich würde hoffen, dass es irgendwie mit einem vollständig gültigen RDP-Zertifikat zufrieden ist.
Mit RDP-Zertifikat meine ich ein Zertifikat mit erweiterter Schlüsselverwendung mit dem Wert "1.3.6.1.4.1.311.54.1.2"
Antwort1
Wenn Sie sie derzeit nicht über die Gruppenrichtlinie bereitstellen, empfehle ich Ihnen, dies zu tun.Dieser Artikelbeschreibt, wie Sie eine benutzerdefinierte Zertifikatvorlage und ein GPO erstellen, damit Ihre Server das richtige Zertifikat registrieren und binden.
Der Grund, warum ich es vorschlage – wenn Sie eine interne Zertifizierungsstelle haben – ist, dass es sauberer sein könnte, einfach die vorhandenen Zertifikate zu ersetzen und dies mithilfe der Gruppenrichtlinie zu erzwingen. Wenn Sie dieses Setup bereits haben, können Sie die Zertifikatsvorlage optimieren und die Option auswählen, alle Clients zur erneuten Registrierung zu zwingen, damit diese das neue Zertifikat erwerben und binden.
Zur Beantwortung Ihrereigentliche Frage, wenn Sie mehrere gültige Zertifikate mit der richtigen EKU haben, glaube ich, dass RDP mit dem Zertifikat binden wird, das dielängstes Gültigkeitsintervalllinks (ich habe eine kurze Suche durchgeführt, kann aber momentan keine Referenz dazu finden). Es könnte sich lohnen, ein paar Maschinen in dieser Situation zu finden und zu prüfen, welcher Zertifikatfingerabdruck für RDP verwendet wird und welche gültigen Zertifikate im Speicher vorhanden sind.
Das ist einer der Gründe, warum ich vorschlage, generell neue Zertifikate auszustellen – wenn sie neuer sind/länger laufen, sollte RDP an diese binden und nicht an die mit dem falschen OSCP. Wenn das konsistent erscheint, würde das hoffentlich vermeiden, dass man eine Lösung skripten muss, um zu erzwingen, welches lokale Zertifikat gebunden werden soll. Meiner Erfahrung nach funktioniert das Aktualisieren/Neuausstellen eines gültigen Zertifikats ohne zusätzliche Schritte.
Antwort2
Es scheint möglich zu sein, die Bindung eines Zertifikats für die RDP-Verbindung zu erzwingen. (Dank an den Kollegen auf Reddit)
Dies überprüft das aktuell gebundene Zertifikat:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
Und so lässt es sich einstellen:
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<THUMBPRINT>"
Wenn das Setzen eines neuen Zertifikats über WMIC nicht funktioniert, können Sie auch den Registrierungseintrag bearbeiten:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- Wertname: SSLCertificateSHA1Hash
- Wertetyp: REG_BINARY
- Wertdaten: (Zertifikatfingerabdruck)
Achtung! Das Setzen eines ungültigen Zertifikats macht eine neue RDP-Verbindung unmöglich.