> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/de/zertifikatsverwaltung/active-directory/szenarien/rdp-serverzertifikat.md).
# RDP-Serverzertifikat
Unter Verwendung der `RdpServer` Vorlage können Sie Computer und Server so konfigurieren, dass verwaltete Zertifikate verwendet werden, die Clients zur Verfügung gestellt werden, die über das Remote Desktop Protocol auf sie zugreifen.
{% stepper %}
{% step %}
### Vorlagenobjekt in Active Directory erstellen
Während der Registrierung und Zuordnung des Zertifikats wird der `SessionEnv` Dienst die konfigurierte Zertifikatvorlage in Active Directory nachschlagen, selbst wenn die Zertifikatvorlage vom bereits konfigurierten CEP-Dienst von SCEPman verwendet werden soll. Um diese Suche zu erfüllen, erstellen wir ein leeres Zertifikatvorlagenobjekt am erwarteten Speicherort. Dafür sind Schreibberechtigungen für den Public-Key-Services-Container in der Gesamtstruktur erforderlich, beispielsweise mit der Rolle Enterprise Admin.
{% hint style="info" %}
Für das Erstellen dieses Objekts ist ein Enterprise Admin erforderlich — sofern Sie dem Public-Key-Services-Container keine Berechtigungen für weitere Rollen zugewiesen haben.
{% endhint %}
{% code lineNumbers="true" %}
```powershell
$ConfigPath = (Get-ADRootDSE).configurationNamingContext
$TemplateContainer = "CN=Certificate Templates,CN=Public Key Services,CN=Services,$ConfigPath"
$Name = "SCEPmanRdpServer"
New-ADObject -Name $Name `
-Type pKICertificateTemplate `
-Path $TemplateContainer `
-OtherAttributes @{
"displayName" = $Name;
"msPKI-Cert-Template-OID" = "1.3.6.1.4.1.311.21.8.$(Get-Random 9999999).$(Get-Random 9999999)";
"msPKI-Template-Schema-Version" = 1;
"msPKI-Template-Minor-Revision" = 1;
"msPKI-RA-Signature" = 0;
"flags" = 0
}
```
{% endcode %}
{% endstep %}
{% step %}
### Zertifikatvorlage in SCEPman aktivieren
Wie andere Zertifikatvorlagen kann auch diese konfiguriert werden, indem die folgenden Umgebungsvariablen dem SCEPman-App-Dienst hinzugefügt werden:
| Einstellung | Wert | Beschreibung |
| ----------------------------------------------- | ----------- | ------------------------------------------------------------------------------------------------------ |
| AppConfig:ActiveDirectory:RdpServer:Enabled | wahr | Die Zertifikatvorlage aktivieren |
| AppConfig:ActiveDirectory:RdpServer:GroupFilter | Gruppen-SID | Optional: Nur Mitgliedern dieser Gruppe das Registrieren von Zertifikaten mit dieser Vorlage erlauben. |
| {% endstep %} | | |
{% step %}
### Gruppenrichtlinie konfigurieren
In einer Gruppenrichtlinie konfigurieren wir den Namen der Zertifikatvorlage und weisen die Computer außerdem an, während der Verbindungen eine bestimmte Sicherheitsebene zu erzwingen.
Computerkonfiguration
└-Richtlinien
└-Administrative Vorlagen
└-Windows-Komponenten
└-Remotedesktopdienste
└-Remotedesktopsitzungshost
└-Sicherheit
└-Zertifikatvorlage für Serverauthentifizierung
└-Verwendung einer bestimmten Sicherheitsebene für Remote (RDP)-Verbindungen erzwingen
#### Zertifikatvorlage für Serverauthentifizierung
Geben Sie den Namen der Zertifikatvorlage ein, die für die RDP-Serverauthentifizierung verwendet werden soll. Standardmäßig ist dies `SCEPmanRdpServer`.
#### Verwendung einer bestimmten Sicherheitsebene für Remote (RDP)-Verbindungen erzwingen
Wählen Sie hier SSL aus, um die Verwendung des verwendeten Zertifikats zu erzwingen.
{% endstep %}
{% endstepper %}
Mit der vorhandenen Konfiguration wird der `SessionEnv` Dienst kann neu gestartet werden, um die Registrierung und Zuordnung des Zertifikats zu erzwingen.
Auf dem Computer selbst können Sie das verwendete Zertifikat bestätigen, indem Sie den folgenden Befehl ausführen:
{% code overflow="wrap" %}
```powershell
(Get-CimInstance -Class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").SSLCertificateSHA1Hash
```
{% endcode %}
Dadurch wird der Fingerabdruck des aktiven RDP-Zertifikats ausgegeben.
Das Ereignisprotokoll zeigt außerdem, dass ein neues Zertifikat verwendet wurde:
{% code title="Relevante Ereignisprotokolleinträge anzeigen" overflow="wrap" %}
```powershell
Get-WinEvent -LogName "System" | Where-Object { $_.ProviderName -eq "Microsoft-Windows-TerminalServices-RemoteConnectionManager" } | Select-Object -First 10 | Format-List Message, TimeCreated
```
{% endcode %}
> Ein neues vorlagenbasiertes Zertifikat, das vom RD Session Host-Server
> \
> für Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL)
> \
> Authentifizierung und Verschlüsselung verwendet werden soll, wurde installiert. Der Name dieses
> \
> Zertifikats ist svr01.Conitoso.local. Der SHA1-Hash des Zertifikats wird
> \
> in den Ereignisdaten bereitgestellt.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://docs.scepman.com/de/zertifikatsverwaltung/active-directory/szenarien/rdp-serverzertifikat.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.