Як я можу вирішити проблеми з конфігурацією сертифікатів у службах віддаленого робочого столу?


32

Я налаштовую ферму віддалених служб робочого столу, і у мене виникають проблеми з налаштуванням сертифікатів для її використання. Демонстрацію проблеми, яку я бачу, можна знайти на кроці №4.

На даний момент я переконаний, що з інтерфейсом користувача є проблеми, і шукаю шляхи їх вирішення. Чи є спосіб налаштувати сертифікати в службах віддаленого робочого столу так, щоб налаштування трималися і відображалися в графічному інтерфейсі? Якщо ні, чи є мені спосіб перевірити правильність налаштувань?

Крок №1 - Створіть сертифікат для використання.

Я налаштував сертифікат для використання з веб-доступом RD. Сертифікат зберігається в MMC-сертифікатах мого брокера RD Connection, і я конфігурую ферму з цього комп'ютера. довідка

Я виявив, дозволяючи RD Web Access генерувати власний сертифікат, що потрібні наступні властивості:

  • Розширене використання ключів
    • Аутентифікація сервера
    • Аутентифікація клієнта
      • Це може не знадобитися, але сертифікат самопідписаний включає його.
  • Ключове використання
    • Цифровий підпис
    • Основна угода
  • Тема Альтернативна назва
    • Ім'я DNS = domain.com

Переїзд щодо самостійного підписання генерації сертифікатів

Як швидкий об’їзд, я зміг подолати проблему зі створенням самопідписаних сертифікатів за допомогою патронної оболонки. Документація для командлету New-RDCertificate дає такий приклад:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Введення цього тексту в оболонку призведе до повідомлення про помилку, що стверджує, що функцію Get-Serverнеможливо знайти. Перед використанням New-RDCertificateпотрібно імпортувати модуль RemoteDesktop за допомогою Import-Module RemoteDesktop.

Крок №2 - Дотримуйтесь поведінки поза межами коробки

При першому відвідуванні діалогового вікна "Властивості розгортання" перейдіть до Менеджера серверів -> Служби віддаленого робочого столу -> Колекції та виберіть "Редагувати властивості розгортання" зі спадного списку "ЗАВДАННЯ" у групі "КОЛЕКЦІЇ", ви побачите наступний екран : введіть тут опис зображення

Це вікно вводить в оману, оскільки levelполе вказане як "Не налаштовано". Якщо я правильно розумію, усі три служби ролей використовують сертифікат, який підписує самостійно. Для ролі RD Web Access це можна перевірити, відвідавши веб-сайт: помилка сертифіката

Сертифікат, що використовується, також відображається в сертифікаті MMC: сертифікати MMC, що показують сертифікат RD Web Access

Крок №3 - Призначте новий сертифікат

Діалогове вікно "Властивості розгортання" дозволить мені вибрати свій існуючий сертифікат. Сертифікат повинен бути розміщений у локальних комп'ютерах Сертифікати MMC у магазині сертифікатів "Особистий". Приватний ключ потрібно буде експортувати, і вам потрібно буде вказати пароль. Я тимчасово експортував свій сертифікат у файл, названий temp.pfxпаролем, а потім імпортував його в сервіси віддаленого робочого столу звідти.

Після цього GUI вкаже, що він готовий прийняти нову конфігурацію. готовий прийняти сертифікат

Після натискання кнопки «Застосувати» графічний інтерфейс вказує на успіх. введіть тут опис зображення

Це можна переконатися, відвідавши веб-сайт RD Access Web вдруге. Немає помилки сертифіката. введіть тут опис зображення

Крок №4 - GUI не підтримує свій стан

Якщо графічний інтерфейс закритий і повторно відкритий, всі ці налаштування видаються втраченими. налаштування втрачаються

Насправді сертифікат, який я налаштував, досі використовується. Я можу продовжувати доступ до веб-сайту RD Access без будь-яких помилок сертифікату.

Як не дивно, якщо я використовую кнопку "Створити новий сертифікат ...", щоб створити сертифікат самопідписаного, це вікно оновиться до рівня "Недовірений". Це налаштування буде збережено через відкриття та закриття діалогового вікна Властивості розгортання.

Чи можу я щось зробити, щоб мої налаштування залишалися придатними? Я відчуваю, що щось не так, коли GUI стверджує, що я не повністю налаштував сертифікати.


7
Це дуже продумане питання. Кудос.
Ryan Ries

Відмінне запитання; занадто погано, не можна призначити більше +1. Не маю лабораторії для тестування, але знайшов кілька хороших посилань: technet.microsoft.com/en-us/library/cc730805.aspx . technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 та rivald.blogspot.com/2011/06/… Також: blog.kristinlgriffin.com/2010/07/…
Ліз

Пощастило ще Майклу?
Ліз

@Lizz Наскільки я можу сказати, сертифікат, який ми використовуємо для рольової служби RD Web Access, приймається клієнтами. Користувацький інтерфейс продовжує повідомляти "Не налаштовано", хоча він фактично використовує вказаний я сертифікат.
Майкл Стіл

Як ваше розмиття. Не традиційний вид.
Користувач StackExchange

Відповіді:


2

Я вчора перевірив наше господарство і помітив, що це Windows 2008 ... Ваш 2012 рік. Я впевнений, що існують великі відмінності, але сподіваюся, що моя інформація допомагає.

Відкриття MMC -> Сертифікати -> Обліковий запис комп’ютера Я бачу два сертифікати в папці "особисті / Сертифікати":

  • Серфіфікований сертифікат (той самий, хто видав предмет)
  • Сертифікат, виданий нашим доменом CA

Самопідписаний показує помилку в деталях, чи має ваш сертифікат ту саму помилку? Помилка

Щоб вирішити цю помилку, просто скопіюйте та вставте сертифікат із підпапки "персональний / Сертифікати" в "Довірені кореневі органи сертифікації / сертифікати". З цим кроком той самий сертифікат не дає помилок. Сертифікат ОК

Після цього є лише два місця, де ви налаштовуєте сертифікат (в RDS Windows 2008), який я знайшов.

Наш RemoteApp Manager показує: Основна

Параметри цифрового підпису: DSS

І в 'Конфігурація хоста сеансу RD, у налаштуваннях з'єднання: RDSHC

В кінці , і якщо я пам'ятаю правильно, ми вирішили це, перевіривши всі параметри, переглядач подій, переконавшись у відсутності помилок у сертифікаті, заселенні деяких локальних груп, наданні їм доступу через Політику безпеки ...

Щасти.

---- Оновлено ----

Не забудьте імпортувати в профіль користувача, CA-емітент або сертифікат (якщо він підписаний самостійно) у "Довірені кореневі органи сертифікації / сертифікати", щоб клієнт не отримав помилки сертифіката. Цей момент був важливим у нашій системі.


Спасибі за інформацію. Ми використовуємо сертифікати, підписані нашою власною адміністрацією. Проблема, яка у мене є, є унікальною для Windows Server 2012. GUI стверджує, що сертифікати налаштовані неправильно або навіть взагалі.
Майкл Стіл

2

У мене була така ж точна проблема, і я знайшов виправлення. Це все, як ви створили шаблон сертифіката і запросили його.
Ось виправлення:

  1. Створіть шаблон сертифіката за допомогою копіювання шаблону "Комп'ютер"
  2. Відредагуйте новий сертифікат і ці два важливі моди 2a. Дозволити експорт приватного ключа 2b. На вкладці Назва предмета виберіть перемикач "Надіслати запит"
  3. Опублікуйте новий шаблон
  4. Створіть новий запит і виберіть новий шаблон
  5. Додати загальну назву та DNS для RDWeb. (Я додав всі сервери RD Farm)

Приклад:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Додайте rdweb.domain.local до дружнього імені, а потім генеруйте сертифікат
  2. Експорт cert з приватним
  3. Імпорт в консоль розгортання RD.

Ви все зробите, і рівень буде довірений і статус у порядку

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.