Remote Desktop fordert mich immer wieder auf, ein Zertifikat zu akzeptieren?

22

Ich verwende Remotedesktop unter Windows 7 RC1 und verbinde mich mit einem Windows 2008-Server.

Jedes Mal, wenn ich eine Verbindung starte, wird das folgende Popup-Fenster angezeigt:

Bildbeschreibung hier eingeben

Das Zertifikatsproblem ist sinnvoll -> es wurde von meinem eigenen Server erstellt, der keine offizielle Zertifizierungsstelle ist. Sicher. Daher muss ich meinem Computer mitteilen, dass alle Zertifikate, die von meinem Server stammen, akzeptiert werden können.

Also sehe ich mir das Zertifikat an und installiere es. Ich lasse es den besten Ort bestimmen, um es zu installieren. z.B

Bildbeschreibung hier eingeben

Leider erhalte ich jedes Mal, wenn ich eine Verbindung herstelle, diese Popup-Frage.

Also habe ich versucht, manuell zu sagen, wo ich es installieren soll. Ich sagte, es zu installieren, um zB.

Bildbeschreibung hier eingeben

aber trotzdem bekomme ich die warnfrage.

Also .. hat jemand irgendwelche Vorschläge?

windows-server-2008 windows-7 remote-desktop Pure.Krome
quelle
Ich nehme nicht an, dass Sie die Originalbilder dafür haben? Imageshack hat sie inzwischen gelöscht. Diese Frage hat viele Ansichten und viele Stimmen, daher wäre es schön, sie wiederherzustellen, wenn dies möglich ist. Leider hat archive.org keine Kopien von Imageshack-Fotos.
Mark Henderson
:( Mit freundlichen Grüßen sorry @ MarkHenderson, ich weiß nicht.
Pure.Krome
Ich habe sie selbst neu erstellt. Hoffentlich waren diese nah genug am Original.
Mark Henderson
Ja - diese Klingelglocken. ta!
Pure.Krome

Antworten:

25

Das Zertifikat muss dem Speicher "Vertrauenswürdige Stammzertifizierungsstellen" Ihres lokalen Computers hinzugefügt werden . Das Hinzufügen zum Speicher "Vertrauenswürdige Stammzertifizierungsstellen" des Benutzers reicht nicht aus ! Wenn das verwirrend klingt, machen Sie sich keine Sorgen.

Wenn Sie glauben, dass Sie das Zertifikat bereits installiert haben, fahren Sie mit "Zertifikat auf Client verschieben" fort.

Zertifikat auf Server exportieren

Zuerst muss das Zertifikat in eine Datei exportiert werden. Auf dem Server, dh dem Computer, zu dem Sie eine Verbindung herstellen möchten:

  1. Lauf %windir%\System32\mmc.exe
  2. Menü File->Add/Remove Snap-in...
  3. Wählen Sie Certificates-> Add >-> Computer account-> Local computer->Finish
  4. OKder Add or Remove Snap-insDialog. Die Konsole sollte jetzt enthalten Certificates (Local Computer).
  5. Wählen Sie Certificates (Local Computer)-> Remote Desktop-> Certificates. Es sollte ein einziges Zertifikat mit dem Namen Ihres Computers vorhanden sein.
  6. Öffnen Sie das Zertifikat.
  7. Öffnen Sie die DetailsRegisterkarte.
  8. Copy to File...
  9. Wählen Sie ein beliebiges Format aus, z DER encoded binary X.509 (.CER).
  10. Geben Sie einen beliebigen Dateinamen ein, z <computername>.cer.
  11. Kopieren Sie die Datei auf Ihren Client-Computer.

Eine andere Möglichkeit, das Zertifikat zu erhalten, besteht darin, die Schritte 6 bis 10 auf Ihrem Clientcomputer im in der Frage erwähnten Dialogfeld "Remotedesktop-Warnung" auszuführen. Aber in diesem Fall vertrauen Sie dem Netzwerk. Vergleichen Sie zumindest die Fingerabdrücke, damit Sie sicher sein können, dass Sie dem richtigen Zertifikat vertrauen.

Zertifikat auf Client importieren

Führen Sie auf dem Client, dh dem Computer, von dem aus Sie eine Verbindung herstellen, und erhalten Sie das Warn-Popup:

  1. Lauf %windir%\System32\mmc.exe
  2. Menü File->Add/Remove Snap-in...
  3. Wählen Sie Certificates-> Add-> Computer account-> Local computer->Finish
  4. OKder Add or Remove Snap-insDialog. Die Konsole sollte jetzt enthalten Certificates (Local Computer).
  5. Wählen Sie Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates.
  6. Menü Action-> All Tasks-> Import....
  7. Geben Sie den Pfad zum exportierten Zertifikat ein, z <computername>.cer.
  8. Place all certificates in the following store-> Trusted Root Certification Authorities.
  9. Finish. Sie sollten die Warnung nicht mehr erhalten.

Zertifikat auf Client verschieben

Wenn Sie das Zertifikat bereits über das Warndialogfeld installiert haben, finden Sie das Zertifikat im Speicher des aktuellen Benutzers. Überspringen Sie die obigen Schritte und verschieben Sie das Zertifikat einfach an die richtige Stelle:

  1. Führen Sie die Schritte 1 bis 3 aus, wie unter "Zertifikat auf Client importieren" beschrieben.
  2. Fügen Sie ein weiteres CertificatesSnap-In hinzu, diesmal für My user account.
  3. Das Zertifikat sollte hier irgendwo sein. Versuchen Sie Certificates - Current User-> Intermediate Certification Authorities-> Certificateszuerst.
  4. Ziehen Sie das Zertifikat per Drag & Drop oder durch Ausschneiden und Einfügen in Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates. Beachten Sie, dass die Zertifikatsspeicher gestapelt sind, sodass das Zertifikat weiterhin im Speicher Ihres Benutzers angezeigt wird! Sie sollten die Warnung nicht mehr erhalten.
Ronald Blaschke
quelle
2
Netter Beitrag, und ich habe ein Follow-up, das ich gerne auf eine neue Frage poste. Wie könnte dies in größerem Maßstab geschehen? Ist es möglich, ein Platzhalterzertifikat zu generieren und zu importieren, um eine Verbindung zu allen Computern in derselben Domäne herzustellen?
Taylor Gerring
Würde dies automatisch passieren, wenn Sie nur das Kontrollkästchen "Fragen Sie mich nicht erneut nach Verbindungen zu diesem Computer" aktivieren? Warum empfehlen Sie, das Zertifikat stattdessen zu importieren?
binki
4

Ich denke, Sie müssen den Pfad des Zertifikats überprüfen und Ihren Computer dem tatsächlichen Stamm und / oder den Zwischenprodukten vertrauen lassen und nicht dem Zertifikat selbst. Sie können auch unter der Registerkarte Pfad sehen, wo das eigentliche Problem liegt ...

Auf den Bildern scheint das Zertifikat, das Sie installieren, nicht ungültig zu sein - die Wurzel des Problems ist ... äh ... das war ein blödes Wortspiel, sorry ^^

Oskar Duveborn
quelle
sicher .. aber wie?
Pure.Krome
Wenn Sie auf die Registerkarte "Zertifizierungspfad" klicken, die Sie veröffentlicht haben, und den Stammknoten in der
Struktur
Nachdem ich auf die Registerkarte "Zertifizierungspfad" geklickt habe, war die einzige Möglichkeit, ein höheres Zertifikat zu installieren, das Klicken auf "In Datei kopieren ..." und dann die Installation dieser Datei. Das Zertifikat wurde in meinem Zertifizierungs-Snap-In korrekt angezeigt, konnte jedoch das Problem nicht beheben.
Dylan Meador
1

Wenn Sie das Zertifikat selbst erstellt haben, muss die Zertifizierungsstelle auf Ihrem Server installiert sein. Sie müssen das Stammzertifikat von der Zertifizierungsstelle zu erhalten, und installieren , dass in die Vertrauenswürdige Stammzertifizierungs Authorites Speicher - nicht das Zertifikat , dass es auf den RDP - Server ausgegeben.

Tim Long
quelle
1
  1. Klicken Sie auf "Zertifikat anzeigen ..."
  2. Klicken Sie auf "Zertifikat installieren"
  3. Klicken Sie im Import-Assistenten auf "Weiter"
  4. Aktivieren Sie das Optionsfeld "Alle Zertifikate in folgendem Speicher ablegen"
  5. Klicken Sie auf "Durchsuchen ..."
  6. Aktivieren Sie das Kontrollkästchen "Filialen anzeigen"
  7. Erweitern Sie Root-Zertifizierungsstellen von Drittanbietern
  8. Wählen Sie "Lokaler Computer"
  9. OK klicken"
  10. Klicken Sie auf "Weiter" und dann auf "Fertig stellen", um den Assistenten abzuschließen
ctsears
quelle
1

Ich konnte das Zertifikat nicht mit einem Vorschlag akzeptieren. Sie können jedoch die Funktionalität für die Zertifikatverarbeitung in den RDP-Einstellungen so anpassen, dass keine RDP-Sitzung gestartet werden muss.

  1. Öffnen Sie die RDP-Instanz und klicken Sie auf Optionen
  2. Klicken Sie dann auf die Registerkarte Erweitert
  3. Wählen Sie im Abschnitt Serverauthentifizierung die Option "Verbinden und nicht warnen"
  4. Stellen Sie dann einfach die anderen Details wie gewohnt ein und drücken Sie Verbinden.

Dadurch wird die Blockierung der Zertifikatauthentifizierung gestoppt.

ArchieVersace
quelle
Das ist eigentlich eine ziemlich kluge Sache :) Ich könnte es einfach versuchen: P
Pure.Krome
1

Ich habe dies nur auf meinem eigenen System geregelt, ich hoffe, es ist das gleiche Thema, auf das hier Bezug genommen wird. Es scheint, dass der Zertifikatimport-Assistent, den Remotedesktop aufruft, das Zertifikat nicht im Speicher der vertrauenswürdigen Stammzertifizierungsstellen speichert, obwohl der Assistent angibt, dass der Import erfolgreich war.

Dies kann überprüft werden, indem mmc vom Anwalt aufgerufen und das Zertifizierungs-Snap-In hinzugefügt wird, um den Inhalt des Speichers der vertrauenswürdigen Stammzertifizierungsstellen anzuzeigen.

Die Problemumgehung besteht darin, die Zertifizierung (vom Host) in einer Datei zu speichern und die Datei dann mit mmc auf Ihrem Client in die vertrauenswürdigen Stammzertifizierungsstellen zu importieren, die auf Ihrem Clientcomputer gespeichert sind.

Ich denke, dass dies ein Bug sein könnte, der in Win 7 SP1 eingeführt wurde (oder ein Feature ...)

Don
quelle
das geschah für mich VOR SP1 ... aber das ist ziemlich interessant. Ich werde es versuchen :) Klarstellung: Schlagen Sie vor, dass wir das Zertifikat zuerst auf dem Hostserver speichern (exportieren) ? dann kopieren Sie es vom Host-Server auf den Client?
Pure.Krome
Das sollte funktionieren, das Problem scheint (zumindest von dem, was ich gesehen habe) der Import-Assistent zu sein, der der Client-Seite des Remote-Terminals zugeordnet ist. Ich hatte auch Erfolg beim Anzeigen und Speichern des Zertifikats auf der Festplatte, während ich zuerst von der Clientseite aus eine Verbindung zum Host herstellte und dann das Zertifikat mithilfe von mmc in den vertrauenswürdigen Zertifikatspeicher importierte. Der Schlüssel scheint mmc zu verwenden, anstatt den Assistenten zu importieren
Don
0

Aktivieren Sie bei der Auswahl des Zertifikatspeichers das Kontrollkästchen "Physische Speicher anzeigen" und speichern Sie das Zertifikat unter "Vertrauenswürdige Stammzertifizierungsstellen> Lokaler Computer".


quelle
1
Nein - kein Glück. Ich habe diese Option nicht: img190.imageshack.us/img190/6739/certificateproblems.png
Pure.Krome
0

Rechts über der Schaltfläche " Zertifikat anzeigen" befindet sich ein Häkchen mit der Aufschrift " Nicht erneut nach Verbindungen zu diesem Computer fragen" . Prüfen Sie.

Andrew Moore
quelle
Nein - das ist nicht genau das, was ich will. Diese nervige Frage wird mir zwar nicht gestellt, aber hinter den Kulissen ist das Zertifikat immer noch nicht vertrauenswürdig (auch wenn es eigentlich keine Rolle spielt).
Pure.Krome
-1

Ich habe nur kurze und schmerzhafte Erfahrungen mit Zertifikaten gemacht, aber mein Vorschlag wäre, den persönlichen Speicher anstelle von vertrauenswürdigen Stammzertifizierungsstellen zu testen.

Adrian Anttila
quelle
Ich dachte, die gespeicherte persönliche war die Standardeinstellung? Ich wurde immer noch gebeten, das Zertifikat manuell zu akzeptieren, selbst nachdem ich es in den Personal Store importiert hatte.
Pure.Krome