Remotedesktopverbindung mit TLS Verschlüsselung

[Tommy1616]

Hallo,

ich hoffe ihr könnt mir weiterhelfen, ich möchte eine remotedesktopverbindung mit einer TLS Verschlüsselung einrichten, damit die Daten während der Übertragung verschlüsselt werden.

Auf dem Host PC befindet sich ein Windows 7 und auf dem remotecomputer ein Windows Server 2003.

Folgende Schritte habe ich durchgeführt:

Windows Server 2003:

- Windows Komponente „Zertifikatdienste“ hinzugefügt

- „Stammzertifizierungsstelle des Unternehmens“ ausgewählt

- Allgemeinen Namen dieser Zertifizierungsstelle vergeben

- Gültigkeitsdatum auf 5 Jahre festgelegt.

- Bei den Einstellungen der Zertifizierungsdatenbank wird der Pfad der Zertifizierungsdatenbank angegeben, wo die Datenbank abgespeichert wird. Das habe ich so belassen wie es ist.

Windows 7

- Im Browser folgendes eingegeben: ipvomserver/certsrv

- Administrator Name und Passwort eingegeben

- „Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste“ ausgewählt

- „Download des Zertifizierungsstellenzertifikat“ ausgewählt und auf dem lokalen pc gespeichert.

- Die Microsoft Management Console (mmc) geöffnet.

- Datei -> Snap-In hinzufügen/entfernen ->Eigenständiges Snap-In hinzufügen -> Snap-In „Zertifikate“ auswählen und auf Hinzufügen geklickt

- Computerkonto ausgewählt

- Lokalen Computer ausgewählt und auf „Fertig Stellen“ geklickt

- Ein weiteres Zertifikats Snap-In hinzugefügt „Dienstkonto“

- Als Dienstkonto „Remote Registrierung“ ausgewählt und auf „Fertig stellen“ geklickt

- Auf den lokalen Computer das soeben runtergeladene Zertifizierungsstellenzertifikat unter „Vertrauenswürdige Stammzertifizierungsstellen“ importiert.

- Rechtklick auf Zertifikate ->Alle Aufgaben ->Importieren.

- Importdateiname auswählen und auf „Weiter“ klicken

- Als Zertifikatspeicher: „Vertrauenswürdige Stammzertifizierungsstellen“ auswählen, anschließend auf „Weiter“ klicken

Danach habe ich das Zertifikat erstellt.

- Im Browser „ipvomserver/certsrv“ eingeben.

- Ein Zertifikat anfordern

- Als Zertifikatvorlage: Administrator auswählen

- Schlüsselgröße wurde auf 4096 gesetzt.

- Ein Hacken bei „Schlüssel als „Exportierbar“ markieren“ und bei „Verstärkte Sicherheit für den privaten Schlüssel

aktivieren“ setzen.

- Ein Anzeigename vergeben und auf „Einsenden“ klicken.

MMC

- Nun ist das eben erstellte Zertifikat in der microsoft management Console unter Zertifikate (Lokaler Computer) - >Eigene Zertifikate ->Zertifikate verfügbar

- Dieses Zertifikat exportiert man auf dem Desktop des Rechners und anschließend wird es in den Snap-In „Zertifikate – Dienst (Remote-Registrierung) auf lokalem Computer unter RemoteRegistry\Eigene Zertifikate importiert.

Das selbe habe ich auch auf dem Server eingestellt und ebenfalls für den Server ein Zertifikat ausgestellt.

Anschließend habe ich auf dem Server die Terminaldienstkonfiguration geöffnet und bei der rdp verbindung als sicherheitsstufe: SSL ausgewählt und bei der verschlüsselungsstufe auf "hoch" gesetzt. Das Zertifikat habe ich auch ausgewählt.

Aber bei der Verbindung mit dem Remotecomputer kommt folgende Fehlermeldung:

Der Servername auf dem Zertifikat ist falsch.

Wenn ich die Verbindung trotz dieser Fehlermeldung ausführe, erscheint oben links kein schloßsymbol.

Was habe ich falsch gemacht??

Vielen Dank für die Hilfe.

[SilentDemise]

Ein Zertifikat erstellt, das keinen Pfifferling wert ist.

[Tommy1616]

was soll das den jetzt heißen??

dann sag mir doch wie ich eine gesicherte rdp verbindung herstellen kann.

[SilentDemise]

warum nutzt du nicht einfach die in mstsc bereits eingebaute verschlüsselung?

[Tommy1616]

weil das ja nur via das rdp verschlüsselt wird.

Ich möchte aber die Verbindung sicherer machen und deshalb wollte ich die Verbindung via tls verschlüsselung herstellen und dazu benötige ich Zertifikate.

[SilentDemise]

Ich versteh deinen Satz nicht. Was ist dir an der integrierten Verschlüsselung nicht sicher genug?

Für Zertifikate solltest du dich nochmal tiefer mit dem Thema PKI beschäftigen. Einfach eine CA aufsetzen und Zertifikate wild exportieren und importieren macht deine Verbindung kein Stück sicherer.