Windows Server 2016 RDP

Catweazle26

New member
Hallo,

ich habe soweit die RemoteDesktopDienst auf unserem Server 2016 erfolgreich eingerichtet. Auch das SingleSignon funktioniert bei Clients in der Domäne.
Leider erscheint beim Versuch unser Zertifikat zu installieren eine Fehlermeldung:
"Das angegebene Zertifikat ist ungültig. Die Zertifikateigenschaften müssen den Anforderungen des Rollendients entsprechen".
Laut Zertifikatseigenschaften ist für "Alle Anwendungsrichtlinien" geeignet.

Weiß jemand warum diese Meldung erscheint, was passt nicht an diesem Zertifikat?

Gruss
Catweazle26
 

SchwarzeBeere

Moderator
Mitarbeiter
Was hat denn das Zertifikat noch für Felder? Der Fehler könnte an vielen Stellen zu finden sein, z.B. könnte der Schlüssel zu kurz sein (mind. 2048 Bit bei RSA), oder es könnte als nicht vertrauenswürdig eingestuft werden, da das CA Zertifikat fehlt.
 

Catweazle26

New member
Erstmal danke für deine Antwort.
Hm, anscheinend ist der öffentliche Schlüssel "RSA" nur 1024 Bit aber das Zertifikat ist gültig.
Hab bisher noch nichts darüber gelesen, dass der Schlüssel mindest 2048 Bit haben muss. Kannst du mir dazu einen Link schicken?


Gruss
Catweazle26
 

Catweazle26

New member
Hallo Schwarzbeere,

Microsoft informiert über den Link: "[FONT=&quot]This advisory announces that the use of RSA certificates that have keys that are less than 1024 bits long will be blocked"
das RSA certificate geblockt werden die weniger als 1024 bit haben.
Mein Schlüssel ist 1024 Bit lang, somit sollte er also passen.

Gruss
Catweazle26[/FONT]
 

SchwarzeBeere

Moderator
Mitarbeiter
Davon abgesehen, dass 1024 Bit in der Praxis zu wenig sind, hast du wohl recht und MS scheint sie noch zuzulassen. Zumindest habe ich nichts Gegenteiliges gefunden.

Es kann natürlich auch sein, dass Zertifikate mit allen Anwdungsrichtlinien schlicht nicht zugelassen sind. Damit soll üblicherweise verhindert werden, dass private Schlüssel für unterschiedliche Zwecke verwendet werden und so einem größeren Risiko ausgesetzt sind kompromittiert zu werden. Geht man nach Certificate Requirements for Windows 2008 R2 and Windows 2012 Remote Desktop Services | Ask the Performance Team Blog so ist nur eine begrenzte Auswahl - Server-Auth, Remote Desktop oder nichts - möglich.

Alternativ können natürlich auch die anderen Felder Probleme machen. Möglicherweise steht das Zertifikat auch auf einer CRL oder ist gesperrt.
 
Oben