Mit einem Remote Desktop Services Gateway kann man aus dem Internet oder einem anderen Netzbereich eine RDP-Verbindung, getunnelt über eine HTTPS-Sitzung, zu einem Server in einem lokalen Netzwerk aufbauen. Dies hat den Vorteil, dass man RDP nicht direkt freigeben muss und die Sicherheit dank HTTPS besser ist.
Eine Beschreibung der Installation von solch einem Gateway habe ich ebenfalls geschrieben, diese ist hier zu finden:
Installation von einem Remote Desktop Services Gateway ohne Active Directory
Da die Einrichtung und Nutzung von solch einem Gateway ein HTTPS-Zertifikat benötigt, gibt es hier unterschiedliche Möglichkeiten, wie man an solch ein Zertifikat kommt. Eine dieser Möglichkeiten ist ein kostenfreies Zertifikat von Lets Encrypt. Der Vorteil ist, neben dem Punkt das es kostenlos ist, dass man auch ziemlich einfach dafür sorgen kann, dass das Zertifikat nach den drei Monaten Standard-Laufzeit automatisch erneuert wird.
Die Einrichtung
Damit wir ein Zertifikat erzeugen und nutzen können, benötigen wir auf dem entsprechenden Server ein kleines Stück Software:
certifytheweb.com: Certify SSL Manager
Diese kleine Software für Windows, bereitgestellt von LetsEncrypt selbst, sorgt für die Registrierung der Zertifikate und die Erneuerung. Nach dem Download und dem Entpacken der Software können wir die ziemlich einfache Installation starten.
Nach der Installation und dem ersten Start der Software müssen wir einen Kontakt hinterlegen, der z.B. bei einem Ablauf der Zertifikate benachrichtigt wird.
Anfrage eines neuen Zertifikats
In der Software können wir nun ein neues Zertifikat erstellen.
Da wir das Zertifikat, sobald es erfolgreich erstellt wurde, in unser RDS Gateway einbinden möchten, brauchen wir die Advanced Settings, da nur hier Skripte ausgewählt und genutzt werden können.
Nun tragen wir den einen Namen oder die Namen (es können auch mehrere Domains sein) ein, wählen die Standard-IIS-Seite aus und wechseln in den Bereich Scripting.
Hier gibt es eins von drei vorab eingestellten Skripten, die automatisch das IIS-Zertifikat in unser RDS Gateway setzen können.
Update 20. Oktober 2020
In der aktuellen Version 5.1.10 ist der Weg ein klein wenig anders. Hier muss unter „Tasks“ ein „Deployment Task“ hinzugefügt werden, das sieht dann wie folgt aus:
Die Anzahl der Tasks wurde hier auch erweitert, und wie man sieht wurde auch ein Dark Mode eingepflegt 🙂 Weiter geht’s mit dem original Text…
Wählt man Select, wird der Pfad zum Skript in den Post-Bereich (als nachgelagert) eingetragen.
Um nun die Anfrage des Zertifikats zu testen, kann im oberen rechten Bereich der Button Test genutzt werden. Hier wird das Zertifikat noch nicht final angefragt, sondern es wird erst einmal getestet, ob die Verbindung überhaupt möglich ist und ob alle benötigten Ports (80 und 443) offen sind.
Passt alles, wird dies als erfolgreicher Test gekennzeichnet.
Nun kann das Zertifikat angefragt werden.
Im Hauptmenü kann man nun sehen, wie lange das Zertifikat noch gültig ist und wann die nächste Erneuerung ansteht.
Tipp: Neustart des RDS Gateway-Dienstes
Man kann bei Bedarf den Dienst des RDS Gateways nach einem Tausch des Zertifikats neu starten lassen. Um dies zu machen, muss das genutzte Skript angepasst werden. Die letzte Zeile ist standardmäßig auskommentiert und muss aktiviert werden.
Überprüfung im RDS Gateway Manager
Ruft man nach der Anfrage des Zertifikats den RDS Gateway Manager auf, sollte man nun das soeben angefragte Zertifikat sehen.
Pingback:Installation von einem Remote Desktop Services Gateway ohne Active Directory - Jans Blog
Hi Jan
Kann es sein, dass die „Advanced“ Funktion entfernt wurde ?
Ich finde sie, allerdings unter einem anderen punkt und ohne scriptfunktion für RDWEB
Hey,
bei mir ist ebenfalls so. Es gibt jetzt noch diese Script funktion nur leider keine Examples… Bei mir geht es trotzdem nicht. 🙁
Ich habe die Beschreibung angepasst, die RDS Gateway Aufgabe ist nun unter „Tasks“ zu finden. Ich habe im Artikel einen Screenshot hinzugefügt.
Gruß, Jan
Hallo Jan, ich finde die RDS Skripts auch nicht unter Task. Zudem habe ich gerade noch ein Problem mit Hetzner,.
Kann keine Validierung mittels dns-01 durchführen, es kommt immer TSL/SSL Fehler.
ok, Kunde zu doof…muss man auch mal scrollen…
Aber der SSL/TLS fehler bleibt
Hallo Jan, durch das ganze gemische NEU / ALT bei dem Certify The Web ist die Anleitung leider überhaupt nicht mehr zu gebrauchen. Es wäre hier besser gewesen die Anleitung in einer neuen Version mit dem neuen Client zu schreiben.
Ich war jedenfalls nicht in der lage damit den RDS Server zum laufen zu bekommen und bin wieder auf ein PS Script zurück gewechselt.
Kann ich so nicht bestätigen, denn ich habe es gerade genau mit dieser Anleitung konfiguriert. Wichtig ist halt, dass man vorher weiterliest und dann klappt das schon ganz gut.
Hallo, ich beisse mir die Zähne aus…
Der RDS Gateway hat mit dem Script entsprechend das Zertifikat erhalten.
Wie bekomme ich das Zertifikat auf meine RDS App Server.
Unter Zertifikate steht noch immer alles auf „Untrusted“
Hi Markus,
nur weil dein Gateway jetzt ein LE Zertifikat hat, ändert das ja nichts an den Zertifikaten der RDS Session Hosts. Das Gateway-Zertifikat muss vermutlich inkl. private key exportiert und auf den Session Hosts wieder importiert und aktiviert werden, damit die Kette fehlerfrei und vollständig durchzertifiziert ist.
Gruß, Jan
Hallo Markus,
ist es möglich ein SSL Zertifikat von z.B. Strao im eigenen IIS Netzwerk einzubinden?
Hallo,
grundsätzlich können auch eigene Zertifikate eingebunden werden, sofern der private Schlüssel für das Zertifikat vorliegt.
Schönen Gruß
Jan