Использование сертификата CA для подключения к удаленному рабочему столу
Я подключаюсь через Интернет к удаленному Windows Server 2012 R2 через Remote Desktop Connection для административных нужд. Это один веб-сервер и сервер базы данных без рекламы и т. Д.
Я не говорю о службах удаленных рабочих столов / сервере терминалов, просто о простой функции удаленного рабочего стола, которая активируется через Панель управления> Система> Параметры удаленного управления. Сервер автоматически создаст самозаверяющий сертификат для шифрования соединения, а клиент подключения к удаленному рабочему столу покажет ошибку сертификата из-за ненадежного центра сертификации.
У меня есть сертификат, подписанный центром сертификации, выданный для полного доменного имени этого сервера и действительный для аутентификации сервера (я использую его для удаленного доступа к серверу MSSQL).
Я хотел бы использовать это для соединений RDP тоже. Все учебные пособия (например, этот вопрос), которые я нашел до сих пор, описывают процесс для служб удаленных рабочих столов или службы терминалов. Я нашел этот вопрос с указанием wmic Команда для установки сертификата, но я не хочу пытаться установить некоторые значения, когда я не знаю, что именно я делаю. Что я сделал, так это добавил его в сертификаты удаленного рабочего стола на локальном компьютере, где также находится автоматически созданная самоподписанная подпись.
Это возможно? Если да, что мне делать?
Спасибо!
2 ответа
Вопрос, который вы нашли, который упоминает использование wmic для установки значения отпечатка сертификата должно работать без установки каких-либо дополнительных функций. Я задал и ответил на аналогичный вопрос здесь, немного подробнее. Он также имеет эквивалент PowerShell для команды wmic. Но я добавлю еще несколько объяснений здесь.
Поскольку вы уже используете этот сертификат для MSSQL SSL, я предполагаю, что он уже установлен в одном из хранилищ сертификатов в системе. Если вы установили его в контексте учетной записи службы, под которой работает MSSQL, вам также может понадобиться установить ее в хранилище "Личный" или "Удаленный рабочий стол" для "Локального компьютера".
Как только он там, вам просто нужно обновить SSLCertificateSHA1Hash значение в Win32_TSGeneralSetting указать на это с помощью одной из команд в моем предыдущем вопросе.
Если вы хотите проверить, какое значение в настоящее время установлено, и сравнить его с самозаверяющим сертификатом, вы можете изменить wmic Команда к следующему. Вы также можете использовать это для проверки правильности нового значения отпечатка, которое вы пытались установить.
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
Вывод должен выглядеть примерно так:
Руководства, относящиеся к службам удаленных рабочих столов / службам терминалов, также применимы к серверу, на котором запущена служба RDP по умолчанию - это просто более ограниченный экземпляр той же службы.
В этих руководствах вам могут не хватать инструментов для администрирования сервиса - вам нужно установить инструменты администрирования ролей для служб удаленных рабочих столов, чтобы иметь возможность управлять сервисом.
Install-WindowsFeature -Name RSAT-RDS-Tools