Aktivieren der SSL-Verschlüsselung auf einem Gateway

Der Datenverkehr zwischen Parallels RAS-Nutzern und einem RAS Secure Client Gateway kann verschlüsselt werden. Auf der Registerkarte SSL/TLS können Sie Datenverschlüsselungsoptionen konfigurieren.

Standardmäßig wird während der Installation eines RAS Secure Client Gateways ein selbstsigniertes Zertifikat installiert und TLS v1.0, v1.1 oder v1.2 verwendet. Jedes RAS Secure Client Gateway besitzt sein eigenes Zertifikat, das clientseitig den vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt werden sollte, um Sicherheitswarnungen zu vermeiden.

So geben Sie ein neues selbstsigniertes Zertifikat aus:

  1. Wählen Sie die Option SSL aktivieren für Port und geben Sie eine Portnummer an (Standardeinstellung ist 443).
  2. (Optional) Wählen Sie die vom RAS Secure Client Gateway akzeptierte SSL-Version aus der Dropdown-Liste Akzeptierte SSL-Versionen aus.
  3. (Optional) Wählen Sie die Verschlüsselungsstärke für die Zertifikatverschlüsselung. Die Standardstärke ist Benutzerdefiniert. Das Feld Cipher gibt die Chiffre an, die ebenfalls auf einen Standardwert gesetzt ist (für die Stärke Benutzerdefiniert können Sie sie bei Bedarf gemäß den openSSL-Standards ändern). Eine stärkere Chiffre ermöglicht eine stärkere Verschlüsselung, wodurch mehr Aufwand erforderlich ist, um sie zu knacken.
  4. Um ein neues selbstsigniertes Zertifikat zu erstellen, klicken Sie auf die Schaltfläche Neues Zertifikat erstellen und geben Sie dann die erforderlichen Daten ein. Beachten Sie, dass Sie über das Feld Läuft ab in Ihr eigenes Zertifikatsverfallsdatum wählen können (der Standardwert ist 12 Monate). Wenn Sie fertig sind, klicken Sie auf Speichern, um die Details zu speichern und ein neues, selbstsigniertes Zertifikat zu erstellen. Die Felder Private-Key-Datei und Zertifikatsdatei werden automatisch ausgefüllt.
  5. Klicken Sie auf OK, um Ihre Änderungen zu speichern, und schließen Sie das Dialogfeld.

Verschlüsseln der Parallels-Client-Verbindung

Standardmäßig ist die einzige Art Verschlüsselung eine Verbindung zwischen einem Gateway und Backend-Servern. Um eine Verbindung zwischen Parallels Client und einem Gateway zu verschlüsseln, müssen Sie auch die Verbindungseigenschaften auf der Client-Seite konfigurieren. Öffnen Sie dazu in Parallels Client die Verbindungseigenschaften und stellen Sie den Verbindungsmodus auf Gateway SSL ein.

Um die Konfiguration von Parallels Client zu vereinfachen, wird empfohlen, ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters oder einer Unternehmenszertifizierungsstelle (CA) zu verwenden.

Wenn ein Zertifikat einer Unternehmenszertifizierungsstelle verwendet wird, erhalten Windows-Clients aus Active Directory ein Stamm- oder Zwischenzertifikat einer Unternehmenszertifizierungsstelle. Client-Geräte auf anderen Plattformen müssen manuell konfiguriert werden.

Wenn ein Zertifikat eines Drittanbieters von einer bekannten vertrauenswürdigen Zertifizierungsstelle (z. B. Verisign) verwendet wird, vertraut das Client-Gerät den Aktualisierungen der vertrauenswürdigen Zertifizierungsstelle für die Plattform.

Nutzung einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters

  1. Navigieren Sie in der RAS-Konsole zu Serverfarm Gateway Eigenschaften und klicken Sie auf die Registerkarte SSL/TLS.
  2. Wählen Sie „TLS 1.2“ als SSL-Einstellungsoption aus.
  3. Wählen Sie CSR.
  4. Geben Sie die Daten ein.
  5. Kopieren Sie den CSR in einen Texteditor und speichern Sie die Datei für Ihre Unterlagen.
  6. Fügen Sie den CSR auf der Website des Anbieters ein oder senden Sie ihm ihn per E-Mail.
  7. Fordern Sie das Zertifikat in der folgenden Form an: Apache mit dem privaten, öffentlichen und Zwischenzertifikat in einer Datei mit der Erweiterung .pem.
  8. Wenn Sie die Datei erhalten, legen Sie sie in einem sicheren Ordner ab, damit Sie im Notfall darauf zugreifen können.
  9. Klicken Sie auf Public Key importieren und navigieren Sie zum Ordner (oder zum sekundären Speicherort, an dem Sie eine Kopie der All-in-One-Zertifizierung abgelegt haben) und fügen Sie die .pem-Datei in das Feld Zertifikatschlüssel ein.
  10. Klicken Sie auf Übernehmen und Testen.

Hinweis: Der private Schlüssel muss bereits bei Ihrer ursprünglichen CRS-Anfrage ausgefüllt worden sein.

Verwenden einer Unternehmenszertifizierungsstelle

Verwenden Sie IIS, um ein Zertifikat von einer Unternehmenszertifizierungsstelle zu erhalten, und exportieren Sie das Zertifikat im PFX-Format.

Installieren Sie das PFX-Zertifikat auf dem RAS Secure Client Gateway wie folgt:

  1. Starten Sie die Parallels RAS-Konsole.
  2. Wählen Sie ein RAS Secure Client Gateway aus, öffnen Sie seine Eigenschaften und wechseln Sie zur SSL-Registerkarte.
  3. Klicken Sie auf […] neben den Feldern Private Key oder Public Key.
  4. Suchen Sie nach der .pfx-Datei und klicken Sie auf OK.
  5. Klicken Sie auf Übernehmen.

Hinweis: Die Datei trusted.pem auf der Parallels Client-Seite muss das Zwischenzertifikat enthalten, das die Zertifizierung von einem Drittanbieter überprüfen kann. Wenn sich das Zwischenzertifikat für den Anbieter nicht in der Datei trusted.pem befindet, müssen Sie es manuell einfügen oder eine trusted.pem-Vorlagendatei mit den richtigen Zwischenzertifikaten erstellen und dann die alte Datei trusted.pem durch die neue aktualisierte ersetzen. Diese Datei befindet sich in Programmdateien\Parallels oder Programmdateien(x86)\Parallels auf der Client-Seite.

Aktivieren von SSL auf dem Parallels Secure Client Gateway mit cert.pem

  1. Aktivieren Sie auf der Parallels Client Gateway-Seite SSL (Secure Sockets Layer) und klicken Sie auf […], um die pem-Datei zu suchen.
  2. Fügen Sie die generierte Datei in die Felder Privater Schlüssel und Öffentlicher Schlüssel ein.
  3. Klicken Sie auf Anwenden, um die neuen Einstellungen zu übernehmen.
  4. Dieses Bild kann eventuell nicht in Ihrem Browser angezeigt werden.

Konfiguration von Parallels Clients

Wenn das Zertifikat selbstsigniert ist oder von einer Unternehmenszertifizierungsstelle ausgestellt wurde, müssen Parallels Clients wie folgt beschrieben konfiguriert werden.

  1. Exportieren Sie das Zertifikat im Base-64 kodierten X.509 (.CER)-Format.
  2. Öffnen Sie das exportierte Zertifikat in einem Texteditor, wie z. B. Notepad oder WordPad, und kopieren Sie den Inhalt in die Zwischenablage.

Fügen Sie das Zertifikat dann clientseitig der Liste der vertrauenswürdigen Zertifizierungsstellen hinzu und erlauben Sie Parallels Client, sich über SSL mit einem Zertifikat von einer Unternehmenszertifizierungsstelle zu verbinden.

  1. Auf der Client-Seite sollte sich im Verzeichnis „C:\Programmdateien\Parallels\Remote Application Server Client\“ eine Datei mit dem Namen trusted.pem befinden. Diese Datei enthält Zertifikate bekannter vertrauenswürdiger Stellen.
  2. Fügen Sie den Inhalt des exportierten Zertifikats (im Anhang der Liste der anderen Zertifikate) ein.

Sichern von RDP-UDP-Verbindungen

Ein Parallels Client kommuniziert normalerweise mit einem RAS Secure Client Gateway über eine TCP-Verbindung. Jüngere Windows-Clients verwenden eventuell auch eine UDP-Verbindung, um die WAN-Leistung zu verbessern. Um UDP-Verbindungen mit SSL zu schützen, muss DTLS verwendet werden.

So verwenden Sie DTLS auf einem RAS Secure Client Gateway:

  1. Stellen Sie sicher, dass auf der Registerkarte SSL/TLS die Option SSL aktivieren für Port ausgewählt ist (Standardeinstellung).
  2. Stellen Sie sicher, dass auf der Registerkarte Netzwerk die Option RDP-UDP-Tunnelling aktivieren ausgewählt ist (Standardeinstellung).

Die Parallels Clients müssen für die Verwendung des Modus SSL-Verbindung konfiguriert sein. Diese Option kann clientseitig unter Verbindungseinstellungen > Verbindungsmodus eingestellt werden.

Nachdem die zuvor genannten Optionen korrekt eingestellt wurden, werden sowohl TCP- als auch UDP-Verbindungen über SSL getunnelt.
Nach oben Feedback