RemoteApp - Zertifikatsfehler - SHA1-Fingerprint

Autor: Mark Heitbrink - vom 17.04.2015 - Kategorie(n): Anleitungen

Wer mit Remotedesktopdiensten (Terminalservices) arbeitet und die RemoteApps verwendet, der kennt sicherlich folgende lästige Fehlermeldung:

Es wird versucht, ein RemoteApp-Programm zu starten, stellen Sie zunächst sicher, daß Sie dem Herausgeber vertrauen.


(klick-vergrößern)

Ihr müsst das vom Remotedesktop Server verwendete Zertifikat an die Clients verteilen, sodass sie diesem Vertrauen. Das gemeine ist nur, daß die "normale" Schnittstelle für Zertifikate der Gruppenrichtlinien die Stelle (Speicherbereich) nicht anbietet, in dem das Zertifikat zu hinterlegen wäre.

Ihr müsst das Root Zertifikat in die Vertrauenswürdigen Stammzertifizierungsstellen integrieren und das Aussteller Zertifikat kommt in die Vertrauenswürdige Herausgeber, siehe auch: Zertifikate verteilen   

Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel
 


(klick-vergrößern)

Jetzt fehlt noch eine weitere Stelle, die íhr über die Administrativen Vorlagen lösen müsst. Die Richtlinien öffentlicher Schlüssel schreiben ihre Werte in dieselbe registry.pol Datei in demselben Format, wie es die Administrativen Vorlagen tun. Man hat nur für die meistgenutzen Zertifikate ein eigenes Frontend gebaut, damit es leichter zu administrieren ist.

Wir benötigen den Fingerprint des Zertifikats. Diesen finden wir ihn in den Details ganz unten:

(klick-vergrößern)

Kopiert diesen in die Zwischenablage, fügt in in einen Editor eurer Wahl ein und entfernt durch Suchen+Ersetzen alle Leerzeichen.


(klick-vergrößern)

Diesen Fingerprint setzen wir jetzt in folgende Richtlinie:

Computer Configuration\Administrative Templates\Windows-Komponenten\Remotedesktopdienste\Remotedesktopverbindungs-Client\
SHA1-Fingerabdrücke von Zertifikaten angeben die vertrauenswürdige RDP-Herausgeber darstellen


Alternativ kann diese Richtlinie auch im Bereich der Benutzerkonfiguration erfolgen. Damit kann gesteuert werden, ob jeder Computer oder nur vereinzelte Personen diesem Zertifikat vertrauen sollen.


(klick-vergrößern)

Es benötigt einen Neustart des Computers.