Возможно ли использование одного символа *.company.com для развертывания RDS?

Question

Возможно ли использование одного символа *.company.com для развертывания RDS?

С развертыванием служб удаленных рабочих столов в домене ad.company.com У меня RDG и RDSH установлены на одном сервере, rd.ad.company.com,

Я могу использовать сертификат подстановки на *.company.com для доступа к шлюзу с помощью диспетчера шлюза удаленного рабочего стола, и я также могу сделать подключение rdp представить этот сертификат клиенту, следуя этому руководству.

Если я пытаюсь подключиться с удаленного клиента с помощью rd.company.com как адрес шлюза и адрес сервера, он терпит неудачу, хотя я добавил rd.company.com в файл hosts на сервере.

Если я пытаюсь подключиться с помощью rd.company.com как ворота и rd.ad.company.com в качестве сервера появляется предупреждение о сертификате, потому что rd.ad.company.com не соответствует шаблону подстановочного знака *.company.com - Я могу подключиться, но моя цель - не предупреждать.

Можно ли покрыть как шлюз, так и сервер *.company.com или мне нужно будет получить еще один сертификат для rd.ad.company.com или же *.ad.company.com,

Я не хочу использовать company.com как домен вместо ad.company.com потому что я понимаю, что это была бы плохая идея.

1

ssl-certificate rds

Источник

Jack Douglas 25 июл '15 в 16:05

2 ответа

Решение

Сертификаты с подстановочными знаками работают только для одного уровня доменов, то есть для самого определенного уровня домена.

Итак, вам нужно получить еще один сертификат для *.ad.company.com,

1

Источник

Tero Kilkanen 25 июл '15 в 16:47

Другие вопросы по тегам ssl-certificate rds

Jack Douglas 26 июл '15 в 11:58 2015-07-26 11:58 · Accepted Answer · 2015-07-26 11:58

Это можно сделать, и оказывается, что это не так сложно. Вам нужно:

Убеждается rd.company.com указывает на IP-адрес rd.ad.company.com на сервере RDG. Вы можете добавить новую зону DNS для rd.company.com и добавьте пустую запись A, указывающую на правильный IP, или добавьте запись в файл hosts в RDG. Вместо этого вы можете добавить внутренний IP к вашему внешнему DNS, но я думаю, что это немного уродливо.
Настройте RAP (политики авторизации ресурсов) на RDG с помощью диспетчера шлюза удаленных рабочих столов, чтобы разрешить rd.company.com, Я сделал это, создав новую RD Gateway-Managed Group.

Теперь мои клиенты RDP могут подключаться с помощью стандартного программного обеспечения клиента RDP с помощью rd.company.com как адрес для сервера и шлюза, так и сертификат подстановочного знака для *.company.com охватывает оба.