Utilizzo del certificato CA per Connessione desktop remoto

22

Mi sto collegando sul Web a un Windows Server 2012 R2 remoto tramite Connessione desktop remoto per esigenze di amministrazione. È un singolo server web e database senza AD, ecc.

Non sto parlando di Servizi Desktop remoto / Terminal Server, ma solo della semplice funzionalità Desktop remoto attivata tramite Pannello di controllo> Sistema> Impostazioni remote. Il server creerà automaticamente un certificato autofirmato per crittografare la connessione e il client Connessione desktop remoto mostrerà un errore di certificato a causa della CA non attendibile.

Ho un certificato firmato dalla CA rilasciato al nome di dominio completo di questo server e valido per l'autenticazione del server (lo sto usando per l'accesso remoto al server MSSQL).

Vorrei usarlo anche per le connessioni RDP. Tutti i tutorial (come questa domanda ) che ho trovato finora descrivono il processo per Servizi Desktop remoto o Servizio terminal. Ho trovato questa domanda indicando un wmiccomando per impostare un certificato, ma non voglio provare a impostare alcuni valori quando non so esattamente cosa sto facendo. Quello che ho fatto è aggiungerlo ai certificati Desktop remoto del computer locale in cui si trova anche l'auto-firma generata automaticamente.

È possibile? Se sì, cosa devo fare?

Grazie!

ssl-certificate  remote-desktop  rdp  windows  windows-server-2012-r2 
Marce
fonte

Risposte:

26

La domanda che hai riscontrato che menziona l'utilizzo wmicdel valore di identificazione personale del certificato dovrebbe funzionare senza l'installazione di funzionalità aggiuntive. Ho chiesto e risposto a una domanda simile qui con qualche dettaglio in più. Ha anche un equivalente di PowerShell per il comando wmic. Ma aggiungerò anche qualche spiegazione qui.

Dato che stai già utilizzando questo certificato per MSSQL SSL, suppongo che sia già installato in uno degli archivi di certificati sul sistema. Se è stato installato nel contesto di un account di servizio con cui MSSQL è in esecuzione, potrebbe essere necessario installarlo anche nell'archivio Personal o Desktop remoto per il "Computer locale".
inserisci qui la descrizione dell'immagine

Una volta che è lì, devi solo aggiornare il SSLCertificateSHA1Hashvalore Win32_TSGeneralSettingper puntarlo usando uno dei comandi nella mia domanda precedente .

Se si desidera verificare il valore attualmente impostato e confrontarlo con il certificato autofirmato, è possibile modificare il wmiccomando nel modo seguente. Puoi anche usarlo per confermare che il nuovo valore di identificazione personale che hai tentato di impostare sia corretto.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

L'output dovrebbe assomigliare a questo:
inserisci qui la descrizione dell'immagine

Ryan Bolger
fonte
2
Grazie! che ha funzionato come incantare, non so perché non ho trovato la tua q / a originale in primo luogo. Non ho abbastanza rappresentante per l'upgrade, ma lo terrò nel backlog finché non funzionerà.
marzo
Almeno su Windows 7 non è necessario spostare il certificato nell'archivio "Desktop remoto". L'archivio certificati "personale" funziona perfettamente.
André Borie,
Da quale applicazione proviene quella schermata, con l'icona rossa della casella degli strumenti in alto a sinistra?
Kyle Humfeld,
È solo lo standard mmc.exe di Windows (Microsoft Management Console) che è un'applicazione host generica per un gruppo di mini applicazioni scritte con gli stessi costrutti dell'interfaccia utente chiamati snap-in. Lo snap-in caricato nella schermata è lo snap-in Certificati.
Ryan Bolger,
2

Le guide che fanno riferimento a Servizi Desktop remoto / Servizi terminal sono applicabili anche a un server che esegue il servizio RDP predefinito: è solo un'istanza più limitata dello stesso servizio.

Quello che potrebbe mancare in quelle guide sono gli strumenti per amministrare il servizio: ti consigliamo di installare gli strumenti di amministrazione dei ruoli per Servizi Desktop remoto per poter gestire il servizio.

Install-WindowsFeature -Name RSAT-RDS-Tools
Shane Madden
fonte
1
Dato che è 2012R2, potrebbe anche usare i Commandlet di Powershell per gestire i suoi certificati. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate, ecc. Non dovrebbe aver bisogno degli strumenti di amministrazione del ruolo per configurarlo tramite PowerShell.
Zoredache,
@Zoredache Grazie per il tuo suggerimento. Ho provato un semplice Get-RDCertificateper iniziare, ma ho avuto il seguente errore: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.Quindi temo di dover installare almeno qualcosa, giusto? Devo continuare con le funzionalità suggerite da @ShaneMadden?
marzo
Hm, in realtà non ci avevo provato. Ho appena provato a eseguirlo sul server 2012R2 che ho configurato completamente come Servizi Desktop a scopo di test. Ho avuto lo stesso errore, quindi ora sono confuso, dal momento che avrebbe sicuramente dovuto funzionare.
Zoredache,
@Zoredache Quindi non sono io almeno ... Beh, proverò con il Install-WindowsFeature -Name RSAT-RDS-Toolsprossimo e riferirò .
marzo
1
@ShaneMadden Stai indicando nella giusta direzione, ma in realtà è richiesto l'intero pacchetto. Forse potresti aggiornare la tua risposta per riflettere quella per coloro che verranno.
marzo
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.