UCS 4.1 RootCA und Windows 2012 R2 Terminalserver Zertifikat

UCS - Univention Corporate Server
5

Hallo zusammen,

zu aller erst noch einmal vielen Dank an Herr Hansen, der Link zu dem anderen Topic war letztendlich der richtige Tipp! Ich werde folgend auch noch meine Vorgehensweise für die Nachwelt beschreiben, falls jemand mal ein Zertifikat braucht mit zusätzlichen Eigenschaften.

Vorab jedoch noch die Info, dass der Weg über das Plugin “windows-client-cert” nicht Zielführend ist, da beim generieren dieser Zertifikate über die UMC nicht das Extension-Script beachtet wird, sondern nur über den weg “univention-certificate” über die CLI.

Hier meine Vorgehensweise:

  1. SSL Extensions über UCR auf Script verweisen: /etc/usr/univention-ssl/extensions.sh
  2. extensions.sh in /etc/usr/univention-ssl/extensions.sh erstellen:createHostExtensionsFile () { echo "/etc/univention/ssl/${1}.ext" }
  3. in /etc/univention/ssl/.ext die Erweiterungen schreiben:
    Bsp. für RDS Zertifikat:

[code]extensions = myx509v3
[ myx509v3 ]

ucs defaults

basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = dataEncipherment, keyEncipherment
extendedKeyUsage = serverAuth
crlDistributionPoints=URI:https:///ucsCA.crl
[/code]

  1. Mittels "univention-certificate new -name " neues Zertifikat erstellen

  2. in durch Script erstellten Zertifikatsordner wechseln

  3. *.pfx file erstellen für Windows Server: openssl pkcs12 -export -out cert.pfx -inkey private.key -in cert.pem

  4. Auf Windows Server mittels MMC Snap-In in persönliche Zertifikate Ordner importieren, dann importiertes Zertifikat in RDS Zertifikate Ordner kopieren

  5. Zertifikat öffnen und aus Detailseite Fingerabdruck auslesen

  6. per elevated cmd folgenden Befehl absetzen wmic /namespace:rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="Fingerabdruck"
    INFO zu 9): Beim kopieren des Fingerabdrucks ist mir aufgefallen, dass oft noch ein unsichtbares ? vorangestellt ist, welches erst im CMD wieder sichtbar ist, also bitte vor dem Absetzen des Befehls im CMD-Fenster noch einmal kontrollieren, dass dem Fingerabdruck kein “?” vorangestellt ist!

  7. RDS-Dienst neu starten

1 Like