Dokumentation
Systemadministrator

RDP und PKI

RDP-Zertifikate mit Windows PKI, Zertifikatstemplate, Application Policy und Gruppenrichtlinie ausrollen.

RDP und PKI

Windows Server verwenden für RDP standardmäßig häufig selbstsignierte Zertifikate. Dadurch erscheinen beim Verbindungsaufbau Zertifikatswarnungen. In einer Domäne ist es sauberer, RDP-Zertifikate über eine interne Windows PKI auszustellen und per Gruppenrichtlinie zu verwenden.

Ziel

RDP-Verbindungen sollen:

  • ein vertrauenswürdiges Zertifikat verwenden
  • automatisch ausgerollt werden
  • bei Bedarf erneuert werden
  • zum FQDN des Servers passen
  • keine unnötigen Zertifikatswarnungen anzeigen

Ablauf

Der grundlegende Ablauf:

  1. Zertifikatstemplate erstellen.
  2. Geeignete Application Policy für RDP konfigurieren.
  3. Berechtigungen für die richtigen Computer setzen.
  4. Template auf der Zertifizierungsstelle veröffentlichen.
  5. Gruppenrichtlinie erstellen.
  6. Server authentication certificate template konfigurieren.
  7. GPO auf die Server-OU verknüpfen.
  8. RDP-Verbindung per FQDN testen.

Zertifikatstemplate

Als Basis kann ein vorhandenes Computer-Template dupliziert werden. Danach wird es für RDP angepasst.

Wichtige Punkte:

  • Application Policies prüfen
  • RDP-spezifische Policy verwenden
  • Berechtigungen für die passenden Server setzen
  • Template sinnvoll benennen
  • Gültigkeit festlegen

Für RDP wird die Application Policy Remote Desktop Authentication mit der OID 1.3.6.1.4.1.311.54.1.2 verwendet.

Gruppenrichtlinie

Die relevante GPO-Einstellung liegt unter:

Computer Configuration
└── Policies
    └── Administrative Templates
        └── Windows Components
            └── Remote Desktop Services
                └── Remote Desktop Session Host
                    └── Security
                        └── Server authentication certificate template

Dort wird der Name des Zertifikatstemplates eingetragen.

Wichtig: FQDN verwenden

RDP sollte mit dem vollständigen DNS-Namen aufgebaut werden, zum Beispiel:

server01.example.local

Wenn stattdessen nur ein Kurzname verwendet wird, passt der Name möglicherweise nicht zum Zertifikat.

Typische Fehlerquellen

  • Client vertraut der ausstellenden CA nicht.
  • GPO wird nicht auf die Server angewendet.
  • Template ist nicht auf der CA veröffentlicht.
  • falscher Template-Name in der GPO
  • falsche Berechtigungen auf dem Template
  • Verbindung wird nicht per FQDN aufgebaut.
  • Zertifikat enthält nicht den erwarteten Namen.
RDP-Zertifikate sind ein gutes Beispiel für saubere Administration: weniger Warnungen, bessere Nachvollziehbarkeit und ein kontrollierter Zertifikatsprozess.

Zuletzt aktualisiert: 6. Juni 2026

Gruppenrichtlinien

Gruppenrichtlinien in Active Directory, Verknüpfung, Sicherheitsfilterung und typische Einsatzbereiche.

Server-Härtung

Grundmaßnahmen für sichere Serverkonfiguration, Updates, Dienste, Firewall, Rechte und Protokollierung.