Die Nutzung von Lets Encrypt Zertifikaten in einem Remote Desktop Services Gateway

Mit einem Remote Desktop Services Gateway kann man aus dem Internet oder einem anderen Netzbereich eine RDP-Verbindung, getunnelt über eine HTTPS-Sitzung, zu einem Server in einem lokalen Netzwerk aufbauen. Dies hat den Vorteil, dass man RDP nicht direkt freigeben muss und die Sicherheit dank HTTPS besser ist.

Eine Beschreibung der Installation von solch einem Gateway habe ich ebenfalls geschrieben, diese ist hier zu finden:

Installation von einem Remote Desktop Services Gateway ohne Active Directory

Da die Einrichtung und Nutzung von solch einem Gateway ein HTTPS-Zertifikat benötigt, gibt es hier unterschiedliche Möglichkeiten, wie man an solch ein Zertifikat kommt. Eine dieser Möglichkeiten ist ein kostenfreies Zertifikat von Lets Encrypt. Der Vorteil ist, neben dem Punkt das es kostenlos ist, dass man auch ziemlich einfach dafür sorgen kann, dass das Zertifikat nach den drei Monaten Standard-Laufzeit automatisch erneuert wird.

Die Einrichtung

Damit wir ein Zertifikat erzeugen und nutzen können, benötigen wir auf dem entsprechenden Server ein kleines Stück Software:

certifytheweb.com: Certify SSL Manager

Diese kleine Software für Windows, bereitgestellt von LetsEncrypt selbst, sorgt für die Registrierung der Zertifikate und die Erneuerung. Nach dem Download und dem Entpacken der Software können wir die ziemlich einfache Installation starten.

Nach der Installation und dem ersten Start der Software müssen wir einen Kontakt hinterlegen, der z.B. bei einem Ablauf der Zertifikate benachrichtigt wird.

Anfrage eines neuen Zertifikats

In der Software können wir nun ein neues Zertifikat erstellen.

Da wir das Zertifikat, sobald es erfolgreich erstellt wurde, in unser RDS Gateway einbinden möchten, brauchen wir die Advanced Settings, da nur hier Skripte ausgewählt und genutzt werden können.

Nun tragen wir den einen Namen oder die Namen (es können auch mehrere Domains sein) ein, wählen die Standard-IIS-Seite aus und wechseln in den Bereich Scripting.

Hier gibt es eins von drei vorab eingestellten Skripten, die automatisch das IIS-Zertifikat in unser RDS Gateway setzen können.

Wählt man Select, wird der Pfad zum Skript in den Post-Bereich (als nachgelagert) eingetragen.

Um nun die Anfrage des Zertifikats zu testen, kann im oberen rechten Bereich der Button Test genutzt werden. Hier wird das Zertifikat noch nicht final angefragt, sondern es wird erst einmal getestet, ob die Verbindung überhaupt möglich ist und ob alle benötigten Ports (80 und 443) offen sind.

Passt alles, wird dies als erfolgreicher Test gekennzeichnet.

Nun kann das Zertifikat angefragt werden.

Im Hauptmenü kann man nun sehen, wie lange das Zertifikat noch gültig ist und wann die nächste Erneuerung ansteht.

Tipp: Neustart des RDS Gateway-Dienstes

Man kann bei Bedarf den Dienst des RDS Gateways nach einem Tausch des Zertifikats neu starten lassen. Um dies zu machen, muss das genutzte Skript angepasst werden. Die letzte Zeile ist standardmäßig auskommentiert und muss aktiviert werden.

Überprüfung im RDS Gateway Manager

Ruft man nach der Anfrage des Zertifikats den RDS Gateway Manager auf, sollte man nun das soeben angefragte Zertifikat sehen.

Jan

Jan Kappen arbeitet sein 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Seit September 2018 ist Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Ein Kommentar:

  1. Pingback:Installation von einem Remote Desktop Services Gateway ohne Active Directory - Jans Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.