mstsc не может проверить подлинность удаленного сервера Amazon

Question

mstsc не может проверить подлинность удаленного сервера Amazon

Когда я подключаюсь к экземпляру Amazon под управлением Windows Server 2003 R2, mstsc говорит, что не может проверить подлинность удаленного сервера. Как на этом изображении:

Но в моем случае название сертификата: i-0e427eaa3f0b7ca11, Проблема не в инфраструктуре Amazon, не так ли?

Моя гипотеза состоит в том, что каждый экземпляр Amazon создается из заранее подготовленного образа. И это причина, почему я должен переиздать сертификат. Я нашел инструкции о том, как я это делаю. Но они идут в основном так: удалить некоторые файлы, перезагрузиться, получить прибыль. Так обычно выдают сертификат? Решит ли это даже мою проблему?

UPD Я обнаружил сертификат (и множество других сертификатов с похожими именами) в MMC > Сертификаты (локальный компьютер) > Личные> Сертификаты. На другом не-Amazon сервере я не вижу сертификатов в этой папке. Сертификат имеет полное имя компьютера в качестве понятного имени (но не в качестве темы). И не очень понятно, что заставляет сервер выбирать именно этот сертификат. Я полагаю, я не могу удалить это. Вероятно, он используется по каким-то техническим причинам Amazon.

Как правило, вопрос в том, что происходит? Как выбирается сертификат? Как я могу повлиять на это? Кто так делает? Когда в Личной папке нет сертификатов, не установлено TLS-соединение?

0

amazon-web-services amazon-ec2 rdp mstsc

Источник

x-yuri 02 авг '18 в 08:57

1 ответ

Решение

Другие вопросы по тегам amazon-web-services amazon-ec2 rdp mstsc

RalfFriedl 02 авг '18 в 16:59 2018-08-02 16:59 · Accepted Answer · 2018-08-02 16:59

У тебя две проблемы.

Имя сервера не совпадает с именем в сертификате.
Сертификат не является доверенным.

Чтобы решить это

Вам не нужно сопоставлять имя хоста сервера, сертификат должен соответствовать DNS-имени, которое использует клиент. Если DNS-имя меняется, получите что-то вроде DynDNS или имя в своем домене, которое вы можете обновить до правильного IP-адреса. Таким образом, имя, которое вы используете, остается прежним, и вы знаете, какое имя добавить в сертификат.
Заставьте своего клиента доверять сертификату. Либо создайте самозаверяющий сертификат и сделайте так, чтобы клиент ему доверял, либо получите сертификат от letsencrypt или другого CA, который уже является доверенным. Или настройте свой собственный CA, но это, вероятно, не стоит усилий для одного сервера.

Запустите mmc и добавьте оснастку MMC диспетчера конфигурации удаленного рабочего стола, чтобы выбрать сертификат.