Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lx:ucs:ca [07.11.2022 15:28] – angelegt Andy Haubenschmid
+++ lx:ucs:ca [07.03.2025 22:11] (aktuell) – für RDS Server die extendedKeyUsage setzen Andy Haubenschmid
@@ Zeile 1: / Zeile 1: @@
 ====== Zertifiats Authority ======
-{{ :lx:uni:ca.jpg?nolink|}}
+{{ :lx:ucs:ca.jpg?nolink|}}
 ===== Neues CA Zertifikat erzeugen =====
@@ Zeile 11: / Zeile 11: @@
 ===== neues Server Zertifikat erstellen =====
 <code>
+echo \(`date -d 18-Oct-2027 +'%s'` - `date +'%s'`\) /86400 |bc
 . /usr/share/univention-ssl/make-certificates.sh
 declare -x ServerName=FQHN
@@ Zeile 18: / Zeile 19: @@
 </code>
 Ändern oder Anpassen der SAN auf ca Zeile 103. Die Zeile enthält bereits ''subjectAltName = DNS:${ServerName}, ...'' den FQDN und den einfachen Hostnamen. Es können kommagetrennt weitere SAN angegeben werden, wie z.B. ''IP:1.2.3.4'' oder ''DNS:ein.anderer.hostname.domain''.
+Es kann auch in der Sektion  ''[ v3_req ]'' eine Linie mit ''extendedKeyUsage = serverAuth'' angehängt werden, damit das Zertifikat vom Host auch für RDS Verbindungen benutzt werden kann.
 Dann die Datei ''openssl.cnf'' speichern.
 <code>
@@ Zeile 24: / Zeile 27: @@
 univention-certificate renew -name ${ServerName} -days 1825
 </code>
+Zertifikatsfingerabdruck auslesen und auf dem Terminalserver via
+''wmic /namespace:rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="Fingerabdruck"'' das Zertifikat für RDP verwenden.
 ===== sub-CA Zertifikat erstellen =====
 <code>

AHa-IT