RDP - Clientauthentifizierung über (RSA) Schlüssel

[servo]

Hallo,

ich versuche für die Remotedesktopverbindung in Windows 2008 Server über eine Authentifizierung per Schlüssel zu realisieren, also ähnlich wie bei SSH ohne Passworteingabe.

Hat jemand mal paar Quellen dazu? Geht das überhaupt? Ich finde leider irgendwie nicht den richtigen Ansatz und komme demnach nicht weiter.
Möchte sozusagen meinem Clienten einen privaten Schlüssel verpassen mit den man nur Zugang zum Server über RDP bekommt.

 

[M-X]

Das funktioniert meinen Wissens nach nicht so einfach. Entweder über IPsec oder über dem Gatewayserver und dem Browser. Wenns einfach sein soll machs mit SSH und lass RDP nur von lokal zu. Brauchst halt dan immer einen SSH Tunnel für RDP.

 

[servo]

Ja, hab mich die letzten Tage etwas belesen und viel probiert. Ich bin jetzt auf die Schiene gewechselt das ich lieber eine VPN Verbindung aufbaue, diese verschlüssle und da drin mit den lokalen IPs die RDP-Verbindung angehe. So kann ich auch einfach auch weitere Verbindungen gesichert nutzen.

VPN hab ich schon probiert, ging ohne Verschlüsslung sehr gut nur mit Authentifizierung und Verschlüsslung war es ein Krampf. Es fehlt mir wohl eine Instanz eines DC und einer CA, da mit "externen" Zertifikaten es irgendwie nicht funktionierte.

Ich hab ein paar sehr gute Guides gefunden und werde das erst einmal so lokal abbilden und wenn es läuft in die Live-Version mit übernehmen.

 

[servo]

Bei meiner Einrichtung für die verschlüsselte VPN Verbindung häng ich an einem Schritt fest. Siehe Bild!

Ich suche diese Einstellung für Windows 2008 Server, das Bild stammt aus Windows 2008 R2. Wie kann ich das Zertifikat im Windows 2008 Server einstellen, bzw. wie aktiviere ich SSTP da?

 

[Whistler]

Das Zertifikat kannst Du auf allen Wegen erstellen, die Dir eine *.p12-Datei (Container mit Zertifikat, privatem Schlüssel und ggf. Zertifikatskette) liefern. Wichtig ist, daß Du es in den Speicher "Eigene Zertifikate" importierst und des dort als "Sie besitzen den privaten Schlüssel zu diesem Zertifikat" angezeigt wird. Die Vorgehensweise ist prinzipiell identisch zum Zertifikatsimport beim IIS, wozu es unzählige Howtos gibt. Das Zertifikat selbst muß zur Datenverschlüsselung (oder halt für alle Zertifikatszwecke) zugelassen sein und kann z.B. mit OpenSSL oder dem Microsoft Zertifikatsdienst erstellt werden. Was Du auf dem Screenshot siehst ist ein per Default erstelltes selbstsigniertes Zertifikat.

 

[servo]

Ja das ist mir klar, die Zertifikate passen schon. Ich hab auch die Bindung beim IIS eingestellt. Ich dachte nur dieses Optionsfeld (was es bei mir nicht gibt) setzt noch einmal irgendwo speziell das gewünschte Zertifikat für die VPN Verbindung und aktiviert erst einmal SSTP. Aber da es eh über 443 läuft muss ich das wohl bei Windows 2008Server im IIS setzen. Leider noch ohne Erfolg ...

Hab folgende Links genutzt Link1 (auch Part2) Link2 Link3

Funktioniert alles wunderbar bis auf die Verbindung mit SSTP/L2TP. Egal welche wilden Einstellungskombinationen ich mache, irgendwie kommt immer ne "passende" Fehlermeldung. Firewalls sind alle aus. Gibt es bei Windows 2008 als Server und Windows 7 als Client was zu beachten? Der Server läuft bei mir momentan in VirtualBox über eine Netzwerkbrücke und hat ein internes Netzwerk an das ich mich einwählen will. PPTP funktioniert top.

 

[rolapp]

Siehe Dir mal die erste Antwort an. Das mit dem SSH Tunnel ist eine einfache Lösung.

 

[servo]

Hab es hinbekommen. Problem war das man auf ein und dem selber Server Probleme bekommt wenn man VPN (RAS) über SSTP und IIS installiert. Durch den Port 443, was eigentlich logisch ist nur in den ganzen Tutorials wird das nicht berücksichtigt und scheint wohl in der R2 Version von Windows 2008 zu funktionieren. Denn da werden immer die Online-Registrierungstools für die Zertifikate installiert was den IIS einbindet.

Ich hab nun einfach RAS und die Zertifikatsdienste vorher installiert und danach den IIS (für den Zugriff der Sperrlisten). Und auf einmal geht es. Es hängt eben doch meistens dann an den einfachen Probleme ;-)