Vertrauenswürdiger RDP-Herausgeber

Beim connect mit RDP auf einen Remotedesktop Server kommt standardmässig eine Zertifikatswarnung. Die Warnung sagt nichts anderes, als dass dem Zertifikat nicht vertraut wird. Das Zertifikat wurde vom Zielserver Self Signed, und ist clientseitig als nicht Vertrauenswürdig eingestuft.

warnung rdp remotedesktopverbindung zertifikatswarnung

Um dem Zertifikat zu vertrauen, kann das  Self Signed Certificate in den Trusted Root Certification Authority Store des Clients importiert werden. Dies kann manuell erfolgen oder domain gesteuert. Alternativ, und die deutlich elegantere Lösung ist die Aussstellung eines Zertifikates durch eine interne PKI mit validierbarer Zertifikatskette. Auch die Einbindung eines Zertifikates, dass von einer öffentlichem Zertifizierungsstelle erstellt wurde, ist eine gute Option.

Sobald der Client dem Zertifikat vertraut, und der Name auf den im Zertifikat definierten matched, warnt der Client nicht mehr wegen der Zertifizierungsstelle. Es sieht zwar schon freundlicher aus, trotzdem poppt noch ein Fenster auf. User müssten jetzt angewiesen werden eine „Warnung“ zu bestätigen. Oft ist es gar nicht sinnvoll, dass der User überhaupt weiss, dass er evtl. ein Remote App ausführt.

rdp remotedesktop remote-app warnung

rdp remotedesktop remote-app warnung

Um diese Meldung zu unterdrücken, sei es eine Verbindung zu einem Session Host oder zu einer Remote App, gibt es die Möglichkeit in den Clients vertrauenswürdige RDP Herausgeber zu hinterlegen. Dazu wird der Hashwert des Zertifikates verwendet.

 

Vertrauenswürdigen RDP-Herausgeber definieren

 

zertifikat certificate thumbprint fingerabdruck

Den Thumbprint am besten in ein Notepad kopieren. Funktion Ersetzten, (ein Leerzeichen gegen nichts) und anschliessend in eine Group Policy einfügen.

Die folgende Einstellung gibt es sowohl für Computer als auch User. Ob es sinnvoller ist, diese Einstellung auf Client Computer, oder nur auf die Gruppe der Remotedesktop User anzuwenden, ist sicherlich von Fall zu Fall verschieden.

Computer- oder User- Konfiguration –> Administrative Vorlagen –> Windows Komponenten –> Remotedesktopdienste –> Remotedesktopverbindungs-Client –> SHA1 – Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdigen RDP-Herausgeber darstellen

Einstellung aktivieren, und Hashwert ohne Leerzeichen eintragen

SHA1 - Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdigen RDP-Herausgeber darstellen

Nach der Aktualisierung der Policy, kommt keine Meldung mehr! Sollte dies nicht wie erwartet funktionieren, kann es sein, dass sich am Anfang ein nicht sichtbares Leerzeichen befindet (passiert z.B. durch die Bearbeitung mit Word). In diesem Fall nochmal raus- und reinkopieren.

Holger Wache

Holger Wache