Puoi impostare questo computer host in modo che utilizzi e presenti il tuo certificato SSL (esistente, acquistato) verificato esternamente (le istruzioni probabilmente funzionano anche per Windows 8 e 8.1, possono o meno funzionare per Windows 7) (parti di questo basate su una Microsoft KB 2001849 ):
Innanzitutto, è necessario aver acquistato un certificato SSL verificato autentico.
Se si dispone di questo certificato nel file di formato pkcs12 (ad es. Estensione pfx) è possibile visualizzare l'impronta digitale SHA1 utilizzando Linux o Cygwin (sarà necessario di seguito):
openssl pkcs12 -in mysite.pfx -nodes|openssl x509 -noout -fingerprint
In alternativa, se hai i singoli file di certificato nel tuo server Linux in / etc / ssl (/etc/ssl/certs/mysite.crt, /etc/ssl/mysite.ca-bundle e /etc/ssl/private/mysite.key ) è possibile creare il file pfx e ottenere l'impronta digitale SHA1 in questo modo:
Crea il file pfx per il tuo certificato, se non ne hai già uno (qui: mysite.pfx) - imposta una buona password quando richiesto:
sudo openssl pkcs12 -export -out mysite.pfx -inkey /etc/ssl/private/mysite.pem -in /etc/ssl/certs/mysite.crt -certfile /etc/ssl/mysite.ca-bundle
Sposta o copia questo file pfx come richiesto in modo che sia accessibile dal tuo computer host Windows.
- Visualizza l'impronta digitale SHA1 della chiave (ti servirà di seguito):
openssl x509 -in /etc/ssl/certs/mysite.crt -noout -fingerprint
Importa file in formato pkcs12 (ad es. Pfx) nell'archivio certificati personali della macchina host Windows:
- Start> Esegui> mmc
- File> Aggiungi Rimuovi snap-in> Certificati> Aggiungi> Account computer> Computer locale> OK
- Nella finestra di sinistra, fai clic con il pulsante destro del mouse su Certificati (computer locale) Personale, scegli Tutte le attività / Importa ...
- Individua il file pfx e importalo, ti suggerisco di non renderlo esportabile per motivi di sicurezza.
- Espandendo il tuo personale / certificati ora dovresti vedere 3 certificati, uno dei quali è il tuo certificato del sito (ad esempio mysite.com). Fai clic con il pulsante destro del mouse su questo certificato del sito e fai clic con il pulsante destro del mouse, scegli Tutte le attività / Gestisci chiavi private ...
- Aggiungi l'utente "SERVIZIO DI RETE" solo con autorizzazione di lettura (non Controllo completo), quindi Applica
- Chiudi mmc
Utilizzare regedit per aggiungere un nuovo valore binario chiamato SSLCertificateSHA1Hash at HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
. Il valore di cui ha bisogno è l'impronta digitale SHA1 del certificato ottenuto sopra: fai clic con il pulsante destro del mouse sul nuovo valore, scegli Modifica e digita i codici esadecimali in sequenza (senza due punti o spazi o virgole, le lettere non fanno distinzione tra maiuscole e minuscole) - ci sono 20 coppie esadecimali in totale (40 caratteri).
Potrebbe essere necessario riavviare il computer host o riavviare Servizi Desktop remoto (da Services.msc) prima che funzioni.
Ora, dopo aver effettuato una connessione desktop remoto a questo host utilizzando il nome del sito corretto (ad esempio mysite.com) dovresti vedere un lucchetto bloccato sul lato sinistro della barra di connessione superiore: facendo clic su questo si mostra che l'identità del telecomando il computer è stato verificato. Una porta aperta da Internet a questo host dovrebbe ora passare il test del nome host PCI-DSS 3.1.