Konfiguruję farmę usług pulpitu zdalnego i mam problem ze skonfigurowaniem certyfikatów, aby mogła z niej korzystać. Demonstrację problemu, który widzę, można znaleźć w kroku 4.
W tym momencie jestem przekonany, że występują problemy z interfejsem użytkownika i szukam sposobów na ich obejście. Czy istnieje sposób skonfigurowania certyfikatów w usługach pulpitu zdalnego, aby ustawienia były przechowywane i były odzwierciedlone w interfejsie GUI? Jeśli nie, czy jest jakiś sposób na sprawdzenie, czy ustawienia są prawidłowe?
Krok # 1 - Utwórz certyfikat do użycia.
Skonfigurowałem certyfikat do używania z usługą RD Web Access. Certyfikat jest przechowywany w MMC Certyfikaty na moim brokerze połączeń usług pulpitu zdalnego i konfiguruję farmę z tego komputera.
Przekonałem się, że pozwalając RD Web Access na wygenerowanie własnego certyfikatu, wymagane są następujące właściwości:
- Ulepszone użycie klucza
- Uwierzytelnianie serwera
- Uwierzytelnianie klienta
- Może to nie być wymagane, ale zawiera samopodpisany certyfikat.
- Kluczowe użycie
- Podpis cyfrowy
- Kluczowa umowa
- Alternatywna nazwa podmiotu
- Nazwa DNS = domena.com
Objazd na temat generowania samopodpisanych certyfikatów
Jako szybki objazd mogłem obejść problem z tworzeniem samopodpisanych certyfikatów za pomocą programu PowerShell. Dokumentacja cmdletu New-RDCertificate zawiera następujący przykład:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Wpisanie tego w powłoce spowoduje wyświetlenie komunikatu o błędzie informującego, że Get-Server
nie można znaleźć funkcji. Przed użyciem New-RDCertificate
należy zaimportować moduł RemoteDesktop Import-Module RemoteDesktop
.
Krok # 2 - Obserwuj zachowanie po wyjęciu z pudełka
Przy pierwszej wizycie w oknie dialogowym Właściwości wdrażania, przechodząc do Menedżera serwera -> Usługi pulpitu zdalnego -> Kolekcje i wybierając opcję „Edytuj właściwości wdrażania” z listy rozwijanej „ZADANIA” w grupie „KOLEKCJE”, zostanie wyświetlony następujący ekran :
To okno wprowadza w błąd, ponieważ level
pole jest wymienione jako „Nieskonfigurowane”. Jeśli dobrze rozumiem, wszystkie trzy usługi ról używają certyfikatu z podpisem własnym. W przypadku roli RD Web Access można to sprawdzić, odwiedzając witrynę:
Używany certyfikat pojawia się również w MMC Certyfikaty:
Krok # 3 - Przypisz nowy certyfikat
Okno dialogowe Właściwości wdrażania pozwoli mi wybrać mój istniejący certyfikat. Certyfikat musi być umieszczony na komputerach lokalnych Certyfikaty MMC w magazynie certyfikatów „Personal”. Klucz prywatny będzie musiał zostać wyeksportowany i konieczne będzie podanie hasła. Tymczasowo wyeksportowałem mój certyfikat do pliku o nazwie temp.pfx
z hasłem, a następnie zaimportowałem go do usług pulpitu zdalnego.
Po wykonaniu tej czynności GUI wskaże, że jest gotowy do zaakceptowania nowej konfiguracji.
Po kliknięciu przycisku „Zastosuj” GUI wskazuje sukces.
Można to zweryfikować odwiedzając stronę internetową RD Web Access po raz drugi. Nie ma błędu certyfikatu.
Krok # 4 - GUI nie utrzymuje swojego stanu
Jeśli GUI zostanie zamknięte i ponownie otwarte, wszystkie te ustawienia wydają się utracone.
Właściwie skonfigurowany certyfikat jest nadal używany. Jestem w stanie nadal uzyskiwać dostęp do witryny RD Web Access bez żadnych błędów certyfikatu.
Dziwne, jeśli użyję przycisku „Utwórz nowy certyfikat ...” do wygenerowania certyfikatu z podpisem własnym, okno to zaktualizuje się do poziomu „Niezaufany”. To ustawienie zostanie następnie zachowane poprzez otwarcie i zamknięcie okna dialogowego Właściwości wdrażania.
Czy jest coś, co mogę zrobić, aby moje ustawienia wyglądały na trwałe? Wydaje mi się, że coś jest nie tak, gdy GUI twierdzi, że nie w pełni skonfigurowałem certyfikaty.
źródło
Odpowiedzi:
Wczoraj sprawdziłem naszą farmę i zauważyłem, że jest to Windows 2008 ... Twój jest rok 2012. Jestem pewien, że istnieją duże różnice, ale mam nadzieję, że moje informacje pomogą.
Otwieranie MMC -> Certyfikaty -> Konto komputera Widzę 2 certyfikaty w folderze „osobiste / Certyfikaty”:
Samopodpisany pokazuje błąd w szczegółach, czy twój certyfikat ma ten sam błąd?
Aby rozwiązać ten błąd, po prostu skopiuj i wklej certyfikat z podfolderu „osobiste / Certyfikaty” do „Zaufanych głównych urzędów certyfikacji / Certyfikatów”. Na tym etapie ten sam certyfikat nie daje błędu.
Potem są tylko dwa miejsca, w których konfigurujesz certyfikat (w RDS Windows 2008), który znalazłem.
Nasz Menedżer RemoteApp pokazuje:
Ustawienia podpisu cyfrowego:
I w „Konfiguracja hosta sesji usług pulpitu zdalnego, w ustawieniach połączenia:
Na koniec , i jeśli dobrze pamiętam, rozwiązaliśmy go, sprawdzając wszystkie opcje, przeglądarkę zdarzeń, upewniając się, że nie ma błędów certyfikatu, zapełniając niektóre grupy lokalne, zapewniając im dostęp przez zasady bezpieczeństwa ...
Powodzenia.
---- Zaktualizowano ----
Pamiętaj, aby zaimportować w profilu użytkownika, urzędzie certyfikacji wystawcy lub certyfikacie (jeśli jest on samopodpisany) w „Zaufanych głównych urzędach certyfikacji / certyfikatach”, aby klient nie dostał żadnego błędu certyfikatu. Ten punkt był ważny w naszym systemie.
źródło
Miałem ten sam dokładny problem i znalazłem poprawkę. To wszystko, jak utworzyłeś szablon certyfikatu i poprosiłeś o certyfikat.
Oto poprawka:
Przykład:
CN = rdweb.domain.local
CN = rdcb.domain.local
CN = rdsh1.domain.local
CN = rdsh2.domain.local
CN = rdsh3.domain.local
rdweb.domain.local
rdcb.domain.local
rdsh1.domain.local
rdsh2.domain.local
rdsh3.domain.local
Robisz to wszystko, a poziom będzie zaufany, a status będzie OK
źródło