# KIT-CA Zertifikate für Windows RDP

## Anforderungen an das Zertifikat

Eine der drei folgenden Anforderungen muss erfüllt sein:

* X.509v3 Enhanced Key Usage ist nicht vorhanden
* X.509v3 Enhanced Key Usage erlaubt „Server Authentication“
* X.509v3 Enhanced Key Usage enthält 
        „Remote Desktop Authentication“ (OID=1.3.6.1.4.1.311.54.1.2.)

Das DFN Profil „Web Server“ enthält „Server Authentication“ und genügt damit.


## Zertifikat und Schlüssel installieren

```bash
# PFX mit der kompletten Chain schnüren
openssl pkcs12 -export -passout pass:geheim -in cert.pem -inkey key.pem -certfile chain.pem -out ${host}-rdp.pfx
```


```bash
# PFX im Cert Store des Computer Kontos installieren
$hostname = [system.environment]::MachineName.ToLower()
$filepath = "C:\SSL\$host-rdp.pfx"
$pass = ConvertTo-SecureString -String "geheim" -AsPlainText -Force

Import-PfxCertificate -FilePath $filepath -CertStoreLocation Cert:\LocalMachine\My -Exportable -Password $pass

# Zertifikat für RDP aktivieren
$pfx = Get-PFXCertificate -FilePath $filepath # FIXME: Passphrase uebergeben?
$thumbprint = $pfx.Thumbprint
$path = (Get-WmiObject -Class Win32_TSGeneralSetting -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-Tcp'").__path
Set-WmiInstance -Path $path -Arguments @{SSLCertificateSHA1Hash="$thumbprint"}
```

## Prüfen

```bash
openssl s_client -CAfile /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem -connect rds.scc.kit.edu:3389
```

## Clientkonfigurationen

### FreeRDP -- xfreerdp

Früher (vor 1.0) hat ein einfaches

```bash
ln -s /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem ~/.freerdp/certs/
```

gereicht.


Mit FreeRDP 1.0.2 aus aktuellem Ubuntu 14.04 genügt das nicht. Die komplette
Chain muss in einzelnen Files in ~/.freerdp/certs liegen. Das ganze in ASN.1
Format und mit gehashtem Subject.

```bash
for pem in KIT-CA.pem DFN-Verein_PCA_Global_-_G01.pem Deutsche_Telekom_Root_CA_2.pem; do
    der=${pem%.*}.cer
    openssl x509 -in $pem -out $der -outform DER
    ln -s $der $(openssl x509 -noout -subject_hash -inform DER -in $der).0
done
```

Mit FreeRDP 2 (derzeit noch RC) klappts einfach so.


## Quellen

* http://support.microsoft.com/kb/2001849
* http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx
* http://www.derekseaman.com/2013/01/creating-custom-remote-desktop-services.html