12
Ignoriert Windows self-signed-Cert, wenn Teil eigener Domain?
Hi Leute,
ich habe hier das Phänomen, dass wenn ich (Win10) mich mit dem Terminalserver (Server 2019) per Hostname ("TS01.meinedomain.blablupp") verbinde, ich keine Zertifikatswarnung erhalte.
Verwende ich stattdessen die IP, erhalte ich eine Meldung, dass das Zertifikat selbst-signiert ist.
ACHTUNG: Es geht hier nicht darum, dass der Verbindungsname nicht zum Zertifikat passt.
Ich suche nun vergeblich die Einstellung/Setting wo ich Windows beibringe, dass es in allen Fällen Zertifikatswarnungen liefert, unabhängig davon, wie ich das Ziel anspreche.
Randnotiz: Ich möchte zeitnah den TS mit einem Zertifikat unserer PKI betanken, möchte vorher aber das merkwürdige Verhalten verstehen.
Danke.
ich habe hier das Phänomen, dass wenn ich (Win10) mich mit dem Terminalserver (Server 2019) per Hostname ("TS01.meinedomain.blablupp") verbinde, ich keine Zertifikatswarnung erhalte.
Verwende ich stattdessen die IP, erhalte ich eine Meldung, dass das Zertifikat selbst-signiert ist.
ACHTUNG: Es geht hier nicht darum, dass der Verbindungsname nicht zum Zertifikat passt.
Ich suche nun vergeblich die Einstellung/Setting wo ich Windows beibringe, dass es in allen Fällen Zertifikatswarnungen liefert, unabhängig davon, wie ich das Ziel anspreche.
Randnotiz: Ich möchte zeitnah den TS mit einem Zertifikat unserer PKI betanken, möchte vorher aber das merkwürdige Verhalten verstehen.
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41269234123
Url: https://administrator.de/contentid/41269234123
Printed on: May 9, 2024 at 00:05 o'clock
12 Comments
Latest comment
Na vermutlich hat der TS ein Zertifikat das zwar den Hostname aber nicht die IP beeinhaltet. Dann gibts bei der IP logischerweise ne Warnung und beim Hostname nicht.
/Thomas
/Thomas
Zitat von @Th0mKa:
Na vermutlich hat der TS ein Zertifikat das zwar den Hostname aber nicht die IP beeinhaltet. Dann gibts bei der IP logischerweise ne Warnung und beim Hostname nicht.
/Thomas
Na vermutlich hat der TS ein Zertifikat das zwar den Hostname aber nicht die IP beeinhaltet. Dann gibts bei der IP logischerweise ne Warnung und beim Hostname nicht.
/Thomas
Es geht um den Umstand, dass in beiden Fällen ein selbst-signiertes Zertifikat im Einsatz ist, was Windows immer anmeckern sollte, egal wie ich mich mit dem Ziel verbinde. Nicht darum, ob der Server/VErbindungsname zum CN/SAN des Zertifikats passt.
Moin,
wer hat das Zertifikat denn ausgestellt?
Bei Zertifikaten gibt es nur 3 Dinge:
1. Passt das Zertifikat zur Anfrage (Host-mismatch und IP/Host-mismatch)
2. Vertraue ich dem CA der das Zertifikat ausgestellt hat
3. Ist das Zertifikat technisch korrekt und gültig.
Ich vermute bei Dir punkt 2.
Das Zertifikat wurde von irgendwas des AD ausgestellt und der PC vertraut dem.
Stefan
wer hat das Zertifikat denn ausgestellt?
Bei Zertifikaten gibt es nur 3 Dinge:
1. Passt das Zertifikat zur Anfrage (Host-mismatch und IP/Host-mismatch)
2. Vertraue ich dem CA der das Zertifikat ausgestellt hat
3. Ist das Zertifikat technisch korrekt und gültig.
Ich vermute bei Dir punkt 2.
Das Zertifikat wurde von irgendwas des AD ausgestellt und der PC vertraut dem.
Stefan
Mit einiger Sicherheit hast Du das selbstsignierte Zertifikat einst manuell auf "nicht mehr nachfragen" gesetzt. Teste es einmal mit einem neuen self-signed Zert.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.
Zitat von @siegmarb:
Es geht um den Umstand, dass in beiden Fällen ein selbst-signiertes Zertifikat im Einsatz ist, was Windows immer anmeckern sollte, egal wie ich mich mit dem Ziel verbinde. Nicht darum, ob der Server/VErbindungsname zum CN/SAN des Zertifikats passt.
Es geht um den Umstand, dass in beiden Fällen ein selbst-signiertes Zertifikat im Einsatz ist, was Windows immer anmeckern sollte, egal wie ich mich mit dem Ziel verbinde. Nicht darum, ob der Server/VErbindungsname zum CN/SAN des Zertifikats passt.
Na der PC scheint dem Zertifikat ja zu vertrauen, also entweder wurde das auf dem PC mal installiert oder dort erstellt und befindet sich noch im Cert Store.
Die von dir gesuchten Einstellung gibt es jedenfalls nicht.
/Thomas
Die Einstellung gibt es, doch: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Zitat von @DerWoWusste:
Mit einiger Sicherheit hast Du das selbstsignierte Zertifikat einst manuell auf "nicht mehr nachfragen" gesetzt. Teste es einmal mit einem neuen self-signed Zert.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.
Mit einiger Sicherheit hast Du das selbstsignierte Zertifikat einst manuell auf "nicht mehr nachfragen" gesetzt. Teste es einmal mit einem neuen self-signed Zert.
Edit: das wird nämlich pro Hostname als Ausnahme gespeichert und die IP wäre dann ein anderer Hostname und hat diese Ausnahme noch nicht zugeteilt bekommen.
Leider nein. Ich teste mit neuen selbst-signierten Zertifikaten und habe auch in der registry geprüft, ob der Hashwert hinterlegt ist. Negativ.
Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers ist leer bzw. wurde gelöscht.
Setze die Policy, die ich verlinkt habe auf den strengsten oder zweitstrengsten Wert.
Zitat von @Th0mKa:
Na der PC scheint dem Zertifikat ja zu vertrauen, also entweder wurde das auf dem PC mal installiert oder dort erstellt und befindet sich noch im Cert Store.
Na der PC scheint dem Zertifikat ja zu vertrauen, also entweder wurde das auf dem PC mal installiert oder dort erstellt und befindet sich noch im Cert Store.
So einfach ist es nicht. Ich habe ja die Vermutung im Betreff geäußert, dass Windows pauschal Zertifikatswarnungen ignoriert, wenn sich das Ziel in der eigenen Domäne befindet (Intranetzonenverhalten).
Zitat von @DerWoWusste:
Die Einstellung gibt es, doch: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Die Einstellung gibt es, doch: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policie ...
Danke. Sieht vielversprechend aus, ich teste das. Es bleibt für mich noch die Frage, wovon es Microsoft abhängig macht, ob es die Gegenstelle "authentifizieren" kann, nur weil ich das Ziel mit dem Namen, statt der IP anspreche.
Wenn Du ein Zertifikat benutzt, muss dem vertraut werden, das ist Möglichkeit eins. Wenn du keines benutzt, wird versucht, den Rechner über Kerberos zu authentifizieren (was nur über den namen geht), wenn das gelingt, kommst Du auch ohne Warnung rauf.
1Zitat von @DerWoWusste:
Wenn Du ein Zertifikat benutzt, muss dem vertraut werden, das ist Möglichkeit eins. Wenn du keines benutzt, wird versucht, den Rechner über Kerberos zu authentifizieren (was nur über den namen geht), wenn das gelingt, kommst Du auch ohne Warnung rauf.
Wenn Du ein Zertifikat benutzt, muss dem vertraut werden, das ist Möglichkeit eins. Wenn du keines benutzt, wird versucht, den Rechner über Kerberos zu authentifizieren (was nur über den namen geht), wenn das gelingt, kommst Du auch ohne Warnung rauf.
Danke, das ist stimmig. Ich bin dann der Meinung, selbstsignierte Zertifikate sind weniger problematisch, wenn hinten rum das Ziel über andere Mechanismen "authentifiziert" wird.
Danke nochmal, das war sehr hilfreich und lehrreich!
