In der Standardeinstellung verwenden Windows Server selbst signierte Zertifikate für die RDP Verbindung. Die selbst signierten Zertifikate sorgen dann beim Herstellen der RDP Verbindung zu einem Windows Server für eine Zertifikatswarnung:
Diese Warnung lässt sich vermeiden indem Zertifikate von ein Windows Zertifizierungsstelle automatisch auf den Servern ausgerollt und bei Bedarf auch erneuert werden. Die Installation einer Windows PKI habe ich in diesem Artikel beschrieben. In diesem Artikel geht es um das automatische Ausrollen der Zertifikate für die RDP Verbindung.
Template für Zertifikate erstellen
Damit Zertifikate für RDP Verbindungen ausgerollt werden können, wird zunächst ein neues Zertifikats-Template benötigt:
Das vorhandene Template „Computer“ eignet sich schon ganz gut für RDP Zertifikate und kann daher dupliziert werden:
Im duplizierten Template müssen zunächst die „Application Policies“ auf dem Reiter „Extensions“ bearbeitet werden:
Die vorhandenen beiden Policies „Client Authentication“ und „Server Authentication“ werden entfernt:
Jetzt kann eine neue Application Policy hinzugefügt werden:
Da es aber noch keine Policy für RDP gibt, muss diese Policy zunächst erstellt werden:
Die neue Application Policy bekommt den Namen „Remote Desktop Authentication“ und als Object Identififier wird die OID „1.3.6.1.4.1.311.54.1.2„ eingetragen (die bereits vorausgefüllten OIDs werden gelöscht):
Die Dialoge können nun mit OK geschlossen werden:
Auf dem Reiter Security bekommt jetzt die Gruppe „Domain Computer“ die entsprechenden Berechtigungen um das Zertifikat anzufordern:
Auf dem Reiter General wird zum Schluss noch ein Name für das Template vergeben, in diesem Fall ist es RDPCertificates. Zusätzlich kann die Gültigkeit entsprechend festgelegt werden:
Der Dialog kann mit OK geschlossen werden und das neue Zertifikats-Template wird in der Übersicht angezeigt:
Damit Zertifikate über das Template ausgestellt werden, muss das Template in der Zertifizierungsstelle als aufzustellende Vorlage angegeben werden:
Das soeben erstellte Template kann ausgewählt und hinzugefügt werden:
Jetzt kann eine Gruppenrichtlinie erstellt werden, welche das Zertifikat anfordert und für RDP Verbindungen aktiviert.
Gruppenrichtlinie für RDP Zertifikate
Auf einer OU kann nun eine neue Gruppenrichtlinie erstellt und direkt verknüpft werden:
Der Name der Gruppenrichtlinie ist frei wählbar:
Unter dem Pfad „Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Seurity“ findet sich die Einstellung „Server authentication certificate template“. Diese Einstellung muss aktiviert und der Name des zuvor erstellten Zertifikats-Templates angegeben werden. In meinem Fall also „RDPCertificates“:
Die Gruppenrichtlinie kann jetzt noch mit weiteren OUs verknüpft werden. Sobald die Gruppenrichtlinie auf den Servern angewendet wird, wird ein Zertifikat über das Template angefordert und für RDP aktiviert.
Mehr ist nicht zu tun, wichtig ist nur, dass RDP Verbindungen mit dem FQDN hergestellt werden (nicht mit dem UNC Namen), da nur der FQDN auf dem Zertifikat angegeben ist: