Використання сертифіката CA для підключення до віддаленого робочого столу


22

Я підключаюсь через Інтернет до віддаленого Windows Server 2012 R2 через підключення до віддаленого робочого столу для потреб адміністрації. Це єдиний сервер веб-баз даних і без реклами тощо.

Я не кажу про послуги віддаленого робочого столу / сервер терміналів, просто просту функцію віддаленого робочого столу, активовану через Панель управління> Система> Віддалені налаштування. Сервер автоматично створить самопідписаний сертифікат для шифрування з'єднання, і клієнт Remote Desktop Connection покаже помилку сертифіката через недовірену CA.

У мене є сертифікат, підписаний CA, виданий на FQDN цього сервера і дійсний для автентифікації сервера (я використовую його для віддаленого доступу MSSQL Server).

Я також хотів би використовувати його для підключення RDP. Усі знайдені нами підручники (на кшталт цього питання ) описують процес надання послуг віддаленого робочого столу або служби терміналів. Я знайшов це питання , в якому wmicвказано команду встановити сертифікат, але я не хочу намагатися встановити деякі значення, коли я не знаю, що саме роблю. Що я зробив, це додати його до сертифікатів віддаленого робочого столу локального комп’ютера, де також розміщений автоматично створений самопідпис.

Це можливо? Якщо так, що мені робити?

Спасибі!

Відповіді:


26

Виявили запитання, що згадки, що використовуються wmicдля встановлення значення thumbprint сертифіката, повинні працювати без додаткової установки функції. Я запитав і відповів на подібне запитання тут трохи детальніше. Він також має еквівалент PowerShell для команди wmic. Але я додам ще трохи пояснень і тут.

Оскільки ви вже використовуєте цей сертифікат для MSSQL SSL, я припускаю, що він уже встановлений в одному з сховищ сертифікатів у системі. Якщо ви встановили його в контексті облікового запису служби, в якому працює MSSQL, можливо, вам також знадобиться встановити його в магазин персонального або віддаленого робочого столу для "Місцевого комп'ютера".
введіть тут опис зображення

Після того, як він знаходиться там, вам просто потрібно оновити SSLCertificateSHA1Hashзначення, Win32_TSGeneralSettingщоб вказати на нього за допомогою однієї з команд у моєму попередньому запитанні .

Якщо ви хочете перевірити, для якого значення встановлено в даний час, і порівняти його з самопідписаним сертифікатом, ви можете змінити wmicкоманду на наступне. Ви також можете використовувати це для перевірки правильності нового значення відбитка пальця, яке ви намагалися встановити.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Вихід повинен виглядати приблизно так:
введіть тут опис зображення


2
Спасибі! що працювало так, як я зачаровую, не знаю, чому я в першу чергу не знайшов вашого оригінального запитання. Не вистачає репортажу, щоб відкласти, але я буду тримати його у відставанні, поки він не працює.
marce

Принаймні, в Windows 7 немає необхідності переміщувати сертифікат до магазину "Віддалений робочий стіл". "Особистий" магазин сертифікатів працює просто чудово.
Андре Борі

З якої програми це знімок екрана з червоним значком панелі інструментів у верхньому лівому куті?
Кайл Хамфельд

Це просто стандартний Windows mmc.exe (Microsoft Management Console), який є загальним хост-додатком для купки міні-додатків, написаних тими самими конструкціями інтерфейсу, що називаються оснащеннями. Оснащення, завантажене на знімку екрана, - це оснащення Сертифікатів.
Райан Болгер

2

Посібники, що відносяться до послуг віддалених служб робочого столу / термінальних служб, також застосовні до сервера, який щойно виконує службу RDP за замовчуванням - це лише більш обмежений екземпляр тієї ж служби.

Те, що вам може не вистачати в цих посібниках, - це інструменти для адміністрування послуги - ви хочете встановити засоби адміністрування ролей для віддалених служб робочого столу, щоб мати можливість керувати службою.

Install-WindowsFeature -Name RSAT-RDS-Tools

1
Оскільки це 2012R2, він також може просто використовувати командлети Powershell для управління своїми сертами. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate тощо. Йому не потрібні інструменти адміністрування ролей, щоб налаштувати його через shellhell.
Зоредаче

@Zoredache Дякую за підказку Я спробував просту Get-RDCertificateдля початку, але отримав таку помилку: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.Тож я боюся, що мені доведеться хоч щось встановити, правда? Чи варто продовжувати запропоновані функції @ShaneMadden?
marce

Грм, я насправді цього не пробував. Я щойно спробував запустити його на сервері 2012R2. Я повністю налаштувався як Desktop Services для тестування. Я отримав таку ж помилку, тож зараз я плутаюся, оскільки це, безумовно, мало спрацювати.
Зоредаче

@Zoredache Тож це не я, принаймні ... Ну, я спробую з Install-WindowsFeature -Name RSAT-RDS-Toolsнаступним і звіту назад.
Marce

1
@ShaneMadden Ви вказуєте в правильному напрямку, але насправді весь пакет необхідний. Можливо, ви могли б оновити свою відповідь, щоб відобразити це для тих, хто прийде.
Marce
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.