Die Nutzung von Lets Encrypt Zertifikaten in einem Remote Desktop Services Gateway

Mit einem Remote Desktop Services Gateway kann man aus dem Internet oder einem anderen Netzbereich eine RDP-Verbindung, getunnelt über eine HTTPS-Sitzung, zu einem Server in einem lokalen Netzwerk aufbauen. Dies hat den Vorteil, dass man RDP nicht direkt freigeben muss und die Sicherheit dank HTTPS besser ist.

Eine Beschreibung der Installation von solch einem Gateway habe ich ebenfalls geschrieben, diese ist hier zu finden:

Installation von einem Remote Desktop Services Gateway ohne Active Directory

Da die Einrichtung und Nutzung von solch einem Gateway ein HTTPS-Zertifikat benötigt, gibt es hier unterschiedliche Möglichkeiten, wie man an solch ein Zertifikat kommt. Eine dieser Möglichkeiten ist ein kostenfreies Zertifikat von Lets Encrypt. Der Vorteil ist, neben dem Punkt das es kostenlos ist, dass man auch ziemlich einfach dafür sorgen kann, dass das Zertifikat nach den drei Monaten Standard-Laufzeit automatisch erneuert wird.

Die Einrichtung

Damit wir ein Zertifikat erzeugen und nutzen können, benötigen wir auf dem entsprechenden Server ein kleines Stück Software:

certifytheweb.com: Certify SSL Manager

Diese kleine Software für Windows, bereitgestellt von LetsEncrypt selbst, sorgt für die Registrierung der Zertifikate und die Erneuerung. Nach dem Download und dem Entpacken der Software können wir die ziemlich einfache Installation starten.

Nach der Installation und dem ersten Start der Software müssen wir einen Kontakt hinterlegen, der z.B. bei einem Ablauf der Zertifikate benachrichtigt wird.

Anfrage eines neuen Zertifikats

In der Software können wir nun ein neues Zertifikat erstellen.

Da wir das Zertifikat, sobald es erfolgreich erstellt wurde, in unser RDS Gateway einbinden möchten, brauchen wir die Advanced Settings, da nur hier Skripte ausgewählt und genutzt werden können.

Nun tragen wir den einen Namen oder die Namen (es können auch mehrere Domains sein) ein, wählen die Standard-IIS-Seite aus und wechseln in den Bereich Scripting.

Hier gibt es eins von drei vorab eingestellten Skripten, die automatisch das IIS-Zertifikat in unser RDS Gateway setzen können.

Update 20. Oktober 2020

In der aktuellen Version 5.1.10 ist der Weg ein klein wenig anders. Hier muss unter “Tasks” ein “Deployment Task” hinzugefügt werden, das sieht dann wie folgt aus:

Die Anzahl der Tasks wurde hier auch erweitert, und wie man sieht wurde auch ein Dark Mode eingepflegt 🙂 Weiter geht’s mit dem original Text…

Wählt man Select, wird der Pfad zum Skript in den Post-Bereich (als nachgelagert) eingetragen.

Um nun die Anfrage des Zertifikats zu testen, kann im oberen rechten Bereich der Button Test genutzt werden. Hier wird das Zertifikat noch nicht final angefragt, sondern es wird erst einmal getestet, ob die Verbindung überhaupt möglich ist und ob alle benötigten Ports (80 und 443) offen sind.

Passt alles, wird dies als erfolgreicher Test gekennzeichnet.

Nun kann das Zertifikat angefragt werden.

Im Hauptmenü kann man nun sehen, wie lange das Zertifikat noch gültig ist und wann die nächste Erneuerung ansteht.

Tipp: Neustart des RDS Gateway-Dienstes

Man kann bei Bedarf den Dienst des RDS Gateways nach einem Tausch des Zertifikats neu starten lassen. Um dies zu machen, muss das genutzte Skript angepasst werden. Die letzte Zeile ist standardmäßig auskommentiert und muss aktiviert werden.

Überprüfung im RDS Gateway Manager

Ruft man nach der Anfrage des Zertifikats den RDS Gateway Manager auf, sollte man nun das soeben angefragte Zertifikat sehen.


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

12 Kommentare:

  1. Pingback:Installation von einem Remote Desktop Services Gateway ohne Active Directory - Jans Blog

  2. Hi Jan
    Kann es sein, dass die “Advanced” Funktion entfernt wurde ?
    Ich finde sie, allerdings unter einem anderen punkt und ohne scriptfunktion für RDWEB

    • Hey,

      bei mir ist ebenfalls so. Es gibt jetzt noch diese Script funktion nur leider keine Examples… Bei mir geht es trotzdem nicht. 🙁

  3. Ich habe die Beschreibung angepasst, die RDS Gateway Aufgabe ist nun unter “Tasks” zu finden. Ich habe im Artikel einen Screenshot hinzugefügt.
    Gruß, Jan

    • Hallo Jan, ich finde die RDS Skripts auch nicht unter Task. Zudem habe ich gerade noch ein Problem mit Hetzner,.
      Kann keine Validierung mittels dns-01 durchführen, es kommt immer TSL/SSL Fehler.

  4. Hallo Jan, durch das ganze gemische NEU / ALT bei dem Certify The Web ist die Anleitung leider überhaupt nicht mehr zu gebrauchen. Es wäre hier besser gewesen die Anleitung in einer neuen Version mit dem neuen Client zu schreiben.
    Ich war jedenfalls nicht in der lage damit den RDS Server zum laufen zu bekommen und bin wieder auf ein PS Script zurück gewechselt.

    • Kann ich so nicht bestätigen, denn ich habe es gerade genau mit dieser Anleitung konfiguriert. Wichtig ist halt, dass man vorher weiterliest und dann klappt das schon ganz gut.

  5. Hallo, ich beisse mir die Zähne aus…
    Der RDS Gateway hat mit dem Script entsprechend das Zertifikat erhalten.
    Wie bekomme ich das Zertifikat auf meine RDS App Server.
    Unter Zertifikate steht noch immer alles auf “Untrusted”

    • Hi Markus,
      nur weil dein Gateway jetzt ein LE Zertifikat hat, ändert das ja nichts an den Zertifikaten der RDS Session Hosts. Das Gateway-Zertifikat muss vermutlich inkl. private key exportiert und auf den Session Hosts wieder importiert und aktiviert werden, damit die Kette fehlerfrei und vollständig durchzertifiziert ist.
      Gruß, Jan

  6. Hallo Markus,
    ist es möglich ein SSL Zertifikat von z.B. Strao im eigenen IIS Netzwerk einzubinden?

    • Hallo,
      grundsätzlich können auch eigene Zertifikate eingebunden werden, sofern der private Schlüssel für das Zertifikat vorliegt.
      Schönen Gruß
      Jan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert