Windows-Server – RDP und MSSQL: SSL-Zertifikat wechseln
Im folgenden zeige ich auf wie das SSL-Zertifikat für RDP und MSSQL unter Windows-Server schnell gewechselt werden kann. Hierzu muss das SSL-Zertifikat zunächst ins PFX-Format konvertiert werden. Anschließend kann das Zertifikat unter „Lokaler Computer“ importiert werden.
Es empfiehlt sich jedoch bereits vor dem Importvorgang die Windows-Power-Shell zu öffnen und folgenden Befehl auszuführen:
Get-ChildItem -Path cert:/LocalMachine/My
Daraufhin werden die aktuell installierten Zertifikate mit Fingerprints ausgegeben. Sobald wir ein neues Zertifikat importieren, sollte folglich ein neues Zertifikat mit einem neuen Fingerprint erscheinen. Diesen neuen Fingerprint werden wir später wieder benötigen.
Um nun das RDP-Server-Zertifikat zu wechseln muss nur noch der folgende Befehl (als Administrator) ausgeführt werden:
$TSpath = (Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'").__path
Set-WmiInstance -Path $TSpath -Argument @{SSLCertificateSHA1Hash="FINGERPRINT"}
Der FINGERPRINT ist hier selbstverständlich mit dem zuvor notierten Fingerprint des neuen SSL-Zertifikats zu ersetzen.
Damit ist das RDP-Zertifikat bereits gewechselt.
Um das SQL-Server-Zertifikat austauschen muss der SQL-Server-Konfigurationsmanager gestartet werden. Unter SQL-Server-Netzwerkkonfiguration erfolgt ein Rechtsklick auf „Protokolle für SERVERNAME“->Eigenschaften->Zertifikate. Hier kann nun das richtige (neue) Zertifikat ausgewählt werden.
Damit ist auch das MSSQL-SSL-Zertifikat ausgetauscht.
Update: Es gab bei Microsoft wohl Änderungen beim Zugriff auf Zertifikate, d. h. jetzt muss im Zertifikatsmanager unter „Rechtsklick->Alle Aufgaben->Private Schlüssel verwalten“ eine Leseberechtigung für das SQL-Dienstkonto bestehen.