Come posso aggirare i problemi con la configurazione del certificato in Servizi Desktop remoto?

32

Sto configurando una farm di Servizi Desktop remoto e ho difficoltà a configurare i certificati per l'utilizzo. Una dimostrazione del problema che sto vedendo può essere trovata nel Passaggio 4.

A questo punto sono convinto che ci siano problemi con l'interfaccia utente e sto cercando dei modi per aggirarli. Esiste un modo per configurare i certificati in Servizi Desktop remoto in modo che le impostazioni conservino e si riflettano nella GUI? In caso contrario, esiste un modo per verificare che le impostazioni siano corrette?

Passaggio n. 1: creare un certificato da utilizzare.

Ho configurato un certificato da utilizzare con Accesso Web Desktop remoto. Il certificato è archiviato nel MMC certificati sul mio broker di connessione Desktop remoto e sto configurando la farm da quel computer. certificato

Ho trovato consentendo a RD Web Access di generare il proprio certificato che sono richieste le seguenti proprietà:

  • Utilizzo chiave migliorato
    • Autenticazione del server
    • Autenticazione client
      • Questo potrebbe non essere necessario, ma il certificato autofirmato lo include.
  • Utilizzo chiave
    • Firma digitale
    • Accordo chiave
  • Nome alternativo soggetto
    • Nome DNS = domain.com

Deviazione sulla generazione di certificati autofirmati

Come deviazione rapida, sono stato in grado di aggirare un problema con la creazione di certificati autofirmati utilizzando PowerShell. La documentazione per il cmdlet New-RDCertificate fornisce il seguente esempio:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Digitando questo nella shell comporterà un messaggio di errore che afferma che Get-Servernon è possibile trovare una funzione . Prima di utilizzare New-RDCertificate, è necessario importare il modulo RemoteDesktop con Import-Module RemoteDesktop.

Passaggio 2: osservare il comportamento immediato

La prima volta che visiti la finestra di dialogo Proprietà di distribuzione accedendo a Server Manager -> Servizi desktop remoto -> Raccolte e selezionando "Modifica proprietà di distribuzione" dall'elenco a discesa "ATTIVITÀ" nel raggruppamento "COLLEZIONI", vedrai la seguente schermata : inserisci qui la descrizione dell'immagine

Questa finestra è fuorviante perché il levelcampo è elencato come "Non configurato". Se capisco correttamente tutti e tre i servizi ruolo utilizzano un certificato autofirmato. Per il ruolo di Accesso Web Desktop remoto questo può essere verificato visitando il sito Web: errore del certificato

Il certificato in uso appare anche nell'MMMC dei certificati: certificati MMC che mostrano il certificato di accesso Web Desktop remoto

Passaggio 3: assegnare un nuovo certificato

La finestra di dialogo Proprietà di distribuzione mi consentirà di selezionare il mio certificato esistente. Il certificato deve essere inserito nella MMC dei certificati dei computer locali nell'archivio certificati "Personale". La chiave privata dovrà essere esportabile e dovrai fornire la password. Ho temporaneamente esportato il mio certificato in un file denominato temp.pfxcon una password e da lì l'ho importato in Remote Desktop Services.

Una volta fatto ciò, la GUI indicherà che è pronto ad accettare la nuova configurazione. pronto ad accettare il certificato

Dopo aver fatto clic sul pulsante "Applica", la GUI indica il successo. inserisci qui la descrizione dell'immagine

Ciò può essere verificato visitando il sito Web Accesso Web Desktop remoto una seconda volta. Non c'è nessun errore di certificato. inserisci qui la descrizione dell'immagine

Passaggio n. 4: la GUI non riesce a mantenere il suo stato

Se la GUI viene chiusa e riaperta, tutte queste impostazioni sembrano essere perse. le impostazioni vengono perse

In realtà, il certificato che ho configurato è ancora in uso. Sono in grado di continuare ad accedere al sito di Accesso Web Desktop remoto senza errori di certificato.

Stranamente, se utilizzo il pulsante "Crea nuovo certificato ..." per generare un certificato autofirmato, questa finestra verrà aggiornata a un livello "Non attendibile". Questa impostazione verrà quindi mantenuta attraverso l'apertura e la chiusura della finestra di dialogo Proprietà di distribuzione.

C'è qualcosa che posso fare per far sì che le mie impostazioni appaiano? Sento che qualcosa non va quando la GUI afferma che non ho i certificati completamente configurati.

ssl-certificate  remote-desktop  certificate  windows-server-2012  remote-desktop-services 
Michael Steele
fonte
7
Questa è una domanda molto ben ponderata. Complimenti.
Ryan Ries
Ottima domanda; peccato che non riesca ad assegnare più +1. Non ho lab per i test ma ho trovato dei buoni collegamenti: technet.microsoft.com/en-us/library/cc730805.aspx . technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 e rivald.blogspot.com/2011/06/… Anche: blog.kristinlgriffin.com/2010/07/…
Lizz,
Hai ancora fortuna Michael?
Lizz
@Lizz Per quanto ne so, il certificato che stiamo utilizzando per il servizio ruolo Accesso Web Desktop remoto viene accettato dai client. L'interfaccia utente continua a segnalare "Non configurato" anche se in realtà utilizza il certificato specificato.
Michael Steele,
Come il tuo sfocato. Non del tipo tradizionale.
StackExchange User

Risposte:

2

Ho controllato ieri la nostra fattoria e ho notato che è Windows 2008 ... Il tuo è il 2012. Sono sicuro che ci sono grandi differenze, ma spero che le mie informazioni siano d'aiuto.

Apertura MMC -> Certificati -> Account computer Vedo 2 certificati nella cartella "personale / Certificati":

  • Certificato autofirmato (stesso emittente un soggetto)
  • Certificato rilasciato dalla nostra CA di dominio

L'auto-firmato mostra un errore nei dettagli, il tuo certificato ha lo stesso errore? Errore

Per risolvere questo errore, copia e incolla il certificato dalla sottocartella "personale / Certificati" in "Autorità / certificati di certificazione radice attendibili". Con quel passaggio lo stesso certificato non dà alcun errore. OK certificato

Successivamente, ci sono solo due posti in cui è possibile configurare il certificato (in RDS Windows 2008) che ho trovato.

Il nostro RemoteApp Manager mostra: Principale

Le impostazioni della firma digitale: DSS

E in "Configurazione host sessione Desktop remoto, nelle impostazioni della connessione: RDSHC

Alla fine , e se ricordo bene, lo abbiamo risolto controllando tutte le opzioni, il visualizzatore eventi, assicurandoci che non vi fossero errori di certificazione, popolando alcuni gruppi locali, dando loro accesso tramite la Politica di sicurezza ...

In bocca al lupo.

---- Aggiornato ----

Ricordarsi di importare nel profilo utente, nella CA dell'emittente o nel certificato (se è autofirmato) in "Autorità / certificati di certificazione radice attendibili" in modo che il client non abbia ricevuto alcun errore di certificato. Questo punto era importante nel nostro sistema.

Carlos Garcia
fonte
Grazie per l'informazione. Stiamo utilizzando certificati firmati dalla nostra stessa CA. Il problema che sto riscontrando è unico per Windows Server 2012. La GUI afferma che i certificati non sono configurati correttamente o addirittura affatto.
Michael Steele,
2

Ho avuto lo stesso problema esatto e ho trovato la soluzione. È tutto come hai creato il modello di certificato e richiedi il certificato.
Ecco la soluzione:

  1. Creare un modello di certificato duplicando il modello Computer
  2. Modifica il nuovo certificato e queste due importanti mod 2a. Consenti esportazione chiave privata 2b. Nella scheda Nome oggetto selezionare il pulsante di opzione "Fornisci nella richiesta"
  3. Pubblica il nuovo modello
  4. Crea una nuova richiesta e seleziona il nuovo modello
  5. Aggiungi nome comune e DNS per RDWeb. (Ho aggiunto tutti i server RD Farm)

Esempio:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Aggiungi rdweb.domain.local al nome descrittivo e quindi genera il certificato
  2. Esporta il certificato con privato
  3. Importazione nella console di distribuzione RD.

Fai tutto ciò e Level sarà Trusted e Status OK

Todd Ouimet
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.