Bei Verwendung des Remote Desktop unter Windows erscheint ständig eine Zertifikatswarnmeldung obwohl man bereits das Zertifikat installiert hat


Wenn man mit den Standardeinstellungen eine Verbindung zum Remotedesktop eines anderen Windows-Rechners aufbaut der nicht in derselben Domäne sitzt, wird man mit Warnhinweisen traktiert. An sich ist die Sache ja gut, nur leider führt die Art wie die Dialoge reagieren zu dem Ergebnis, dass die Anwender genervt sind und im Zweifel ihre Sicherheitseinstellungen reduzieren um zum Ziel zu kommen.

Hier sind die Masken (noch Win7) schön dargestellt und die Situation gut beschrieben: http://serverfault.com/questions/7653/remote-desktop-keeps-asking-me-to-accept-a-certificate

Blöd an der Sache ist, dass selbst wenn man sagt, man möchte das Zertifikat installiert bekommen, dass es dann beim nächsten Aufruf wieder nicht klappt. Das verwirrt und sorgt für die Konditionierung, dass einfach immer alles weggeklickt wird, Hauptsache es funktioniert irgendwie. Aber das kann es nicht sein!

Was passiert hier effektiv? Wenn man die Installation des Zertifikats dem System überlässt, wird das Zertifikat beim aktuellen Benutzer abgespeichert und zwar unter den Zwischenzertifizierungsstellen. Damit das Zertifikat seiner Bedeutung gerecht werden kann, muss es aber im Computerkonto unter Vertrauenswürdige Stammzertifizierungsstellen enthalten sein. Warum das so ist? Keine Ahnung, aber ich spekuliere mal darauf, dass auch bestimmte Dienste (Netzwerk) zur Absicherung der Verbindung benutzt werden und diesen das Zertifikat vom Benutzer nicht zur Verfügung steht.

Lösung unter Windows 8 und Server 2012
Windows 8 und Windows Server 2012 bringen eine Verbesserung der Situation. War seither beim Importassistent immer nur die Installation des Zertifikats beim aktuellen Benutzer möglich, erscheint nun nach Auswahl von “Zertifikat installieren” zuallererst die Rückfrage nach dem Speichertort, wo man zwischen “Aktueller Benutzer” und “Lokaler Computer” wählen kann. Leider ist aber der Rest des Assistenten genauso unübersichtlich wie früher. D. h. am Ende des Importvorgangs ist nicht klar wo das Zertifikat gelandet ist!

Denn das dumme daran ist, dass das Zertifikat nicht im Speicher der Vertrauenswürdigen Stammzertifizierungsstellen gespeichert wird, auch wenn man den lokalen Computer zuerst ausgewählt hat. Wie vor Windows 8 wird es, bei Verwendung der Vorgabe den Zertifikatsspeicher automatisch zu wählen, im Speicher der Zwischenzertifizierungsstellen gespeichert! Ob Bug oder Feature kommt noch hinzu, dass das Zertifikat nicht nur beim lokalen Computer landet sondern auch noch beim aktuellen Benutzer. Beim Testen wurde bereits Windows 8 RTM verwendet!

Das Zertifikat wird also nur sauber gespeichert wenn man “Lokalen Computer”, “Alle Zertifikate in folgendem Speicher speichern” und als Speicherort “Vertrauenswürdige Stammzertifizierungsstellen” auswählt.

Lösung für Windows 7, Server 2008 R2 und davor
Man kann nun mittels MMC und dem Zertifikats-Snapin einmal das Computerkonto und den Zertifikatsspeicher des aktuellen Benutzer öffnen und dann das betreffende Zertifikat vom einen Speicher in den anderen verschieben. Lästig aber ist so.

3 Antworten to “Bei Verwendung des Remote Desktop unter Windows erscheint ständig eine Zertifikatswarnmeldung obwohl man bereits das Zertifikat installiert hat”

  1. Quirel Says:

    Interessanter Artikel zum Thema:

    http://blogs.technet.com/b/askperf/archive/2014/01/24/certificate-requirements-for-windows-2008-r2-and-windows-2012-remote-desktop-services.aspx

  2. Quirel Says:

    Hier weitere Lösungen, das entscheidende Element ist Certhash bei dem der SHA1-Wert des Zertifikats des Remoterechners in der Registrierung unter HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\Rechnername hinterlegt wird. Der Certhash entspricht unter Powershell dem Thumbprint-Property.

    http://superuser.com/questions/297574/remote-desktop-connection-how-to-get-the-certificate-prompt-back
    http://www.richud.com/wiki/Windows_7_Remote_Desktop_Connection_no_prompts
    http://stackoverflow.com/questions/20686361/how-to-ignore-the-certificate-warning-on-remote-desktop-connection
    http://serverfault.com/questions/341492/where-does-rdp-client-store-trusted-publishers-list-and-how-do-i-clear-the-list

  3. Quirel Says:

    Hier eine weitere Lösung mittels Powershell und WMI: https://www.frankysweb.de/tipp-zertifikat-fr-rdp-austauschen/

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: