Creazione di un certificato autofirmato e attendibile per Windows RDP (nessun dominio)

1

Posso usare Windows RDP per controllare a distanza il mio PC di casa (tramite una VPN), ma ottengo sempre questo avviso:

windows RDP certificate warning

Devo generare manualmente un certificato autofirmato e installarlo?

O è già successo e posso fidarmi di quello che sta già fornendo?

Fa "Non chiedermelo più per le connessioni a questo computer" fai questo ?, o semplicemente controlla il nome e ignora il controllo del certificato?

Voglio ancora utilizzare il certificato autofirmato per la verifica. Voglio solo che il mio laptop si fidi del certificato autofirmato.

Sono su Windows 10.

windows  windows-10  security  remote-desktop  certificate 
Tom Jenkinson
fonte

Risposte:

7

Ci sono almeno tre soluzioni per questa finestra di dialogo:

  1. Controlla il Don't ask me again for connections to this computer casella di controllo
  2. Installa il certificato utilizzato dalla macchina remota in     la tua macchina locale Trusted Root Certification Authorities memorizzare
  3. Utilizzare un certificato firmato da entrambi i computer attendibili

La prima opzione è ciò che fa la maggior parte delle persone e va benissimo farlo. Non installa il certificato o non lo considera attendibile ma si ricorda di considerare attendibile questo certificato solo per una connessione RDP e solo per il computer con il nome host utilizzato.

Crea una nuova chiave di registro su: 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers\Computer-1

con un Certhash valore che ha l'identificazione personale del certificato.

Se elimini questa chiave, ottieni di nuovo la finestra di dialogo.

Questa eccezione è valida solo per l'utente corrente, un altro utente sulla stessa macchina deve fare la stessa cosa.

La seconda opzione è di fidarsi effettivamente del certificato autofirmato. Devi iniziare il Remote Desktop Connection come amministratore elevato, quindi fare clic su View certificate pulsante, e nella pagina successiva il Install Certificate... pulsante. Selezionare Local Machine e Browse.... Utilizzare il Trusted Root Certification Authorities memorizza e completa il processo di importazione.

Utilizzando questa opzione, qualsiasi utente sul computer può eseguire il RDP nella macchina remota senza visualizzare la finestra di dialogo, ma ora è stata aggiunta una nuova CA al computer che di solito non è l'idea migliore e dovrebbe essere evitata. Se qualcuno ha hackerato il computer remoto, potrebbe ottenere quel certificato e usare la sua fiducia in esso per altri scopi. Il certificato RDP autofirmato è solo per l'Autenticazione server, non può essere utilizzato per firmare altri certificati, ma non si sa mai.

Quando si attiva RDP sul computer remoto, Windows crea automaticamente questo certificato autofirmato, ma in genere è valido solo per sei mesi, quindi dopo sei mesi è necessario ripetere l'opzione uno o due.

Con l'opzione tre è possibile ottenere certificati validi più a lungo, ma è necessario disporre della propria CA o di una pubblica.

Attaccherei con l'opzione 1

Peter Hahndorf
fonte
Grazie Sì, posso confermare che è in quella posizione nel Registro di sistema. Ho anche provato in precedenza a installare il certificato nel modo in cui hai suggerito e anche se non c'erano errori sembrava funzionare anche se non lo fosse. Non stavo correndo come admin, quindi probabilmente lo spiegherò! Se volessi, immagino di poter creare un certificato autodidatta con un tempo di scadenza più lungo per l'opzione 3?
Tom Jenkinson
Sì, credo che potresti crearne di tuoi e installarlo sia nel computer remoto che in quello locale. Uso sempre la mia CA, quindi non ho fatto molto con i certificati autofirmati.
Peter Hahndorf
Una volta che hai accettato l'opzione 1, non è sostanzialmente impossibile per qualcuno eseguire un attacco MITM?
trognanders
2

Selezionando "sì" e selezionando la casella "Non chiedermelo più ..." accetterò il certificato autofirmato e non ti chiederà di approvare nuovamente quel certificato.

Quindi sì, è stato generato un certificato per te, è perfettamente corretto continuare a utilizzarlo in questo scenario di utilizzo e non devi fare nient'altro.

Per uso personale come questo non è necessario perseguire un certificato "reale" firmato da una CA, ma le opinioni (e i livelli di paranoia) variano. Sta diventando sempre più economico ottenere certs legittimi, (vediamoci cifrati), ma è comunque un ostacolo usare ancora quelli per RDP.

Una nota: se ci si connette a questo computer tramite lo stesso collegamento VPN dallo stesso computer remoto, e si è scelto di fidarsi del certificato e "non mostrarmi più", ma in futuro verrà richiesto di nuovo, è quando dovresti essere un po 'preoccupato. È così che un uomo nell'attacco di mezzo si presenterebbe.

È possibile visualizzare i certificati dai computer remoti di cui si è fidato, implicitamente dovuti all'emissione di un trust di Windows CA o esplicitamente come nel caso di questo certificato rdp utilizzando il plugin cert mmc descritto Qui

Argonauts
fonte
Grazie quindi la mia prossima domanda è dove viene memorizzato il certificato una volta che ho controllato quella casella? L'ho fatto e sembra funzionare, ma mi chiedo dove quel certificato è ora salvato sul mio portatile.
Tom Jenkinson
"Computer locale - & gt; Desktop remoto - & gt; Certificati" mostra un paio di certificati che vengono rilasciati al mio portatile dal mio portatile. Non dovrebbe esserci uno rilasciato al mio portatile dal mio computer qui?
Tom Jenkinson
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.