Jak obejść problemy z konfiguracją certyfikatu w usługach pulpitu zdalnego?

32

Konfiguruję farmę usług pulpitu zdalnego i mam problem ze skonfigurowaniem certyfikatów, aby mogła z niej korzystać. Demonstrację problemu, który widzę, można znaleźć w kroku 4.

W tym momencie jestem przekonany, że występują problemy z interfejsem użytkownika i szukam sposobów na ich obejście. Czy istnieje sposób skonfigurowania certyfikatów w usługach pulpitu zdalnego, aby ustawienia były przechowywane i były odzwierciedlone w interfejsie GUI? Jeśli nie, czy jest jakiś sposób na sprawdzenie, czy ustawienia są prawidłowe?

Krok # 1 - Utwórz certyfikat do użycia.

Skonfigurowałem certyfikat do używania z usługą RD Web Access. Certyfikat jest przechowywany w MMC Certyfikaty na moim brokerze połączeń usług pulpitu zdalnego i konfiguruję farmę z tego komputera. certyfikat

Przekonałem się, że pozwalając RD Web Access na wygenerowanie własnego certyfikatu, wymagane są następujące właściwości:

  • Ulepszone użycie klucza
    • Uwierzytelnianie serwera
    • Uwierzytelnianie klienta
      • Może to nie być wymagane, ale zawiera samopodpisany certyfikat.
  • Kluczowe użycie
    • Podpis cyfrowy
    • Kluczowa umowa
  • Alternatywna nazwa podmiotu
    • Nazwa DNS = domena.com

Objazd na temat generowania samopodpisanych certyfikatów

Jako szybki objazd mogłem obejść problem z tworzeniem samopodpisanych certyfikatów za pomocą programu PowerShell. Dokumentacja cmdletu New-RDCertificate zawiera następujący przykład:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Wpisanie tego w powłoce spowoduje wyświetlenie komunikatu o błędzie informującego, że Get-Servernie można znaleźć funkcji. Przed użyciem New-RDCertificatenależy zaimportować moduł RemoteDesktop Import-Module RemoteDesktop.

Krok # 2 - Obserwuj zachowanie po wyjęciu z pudełka

Przy pierwszej wizycie w oknie dialogowym Właściwości wdrażania, przechodząc do Menedżera serwera -> Usługi pulpitu zdalnego -> Kolekcje i wybierając opcję „Edytuj właściwości wdrażania” z listy rozwijanej „ZADANIA” w grupie „KOLEKCJE”, zostanie wyświetlony następujący ekran : wprowadź opis zdjęcia tutaj

To okno wprowadza w błąd, ponieważ levelpole jest wymienione jako „Nieskonfigurowane”. Jeśli dobrze rozumiem, wszystkie trzy usługi ról używają certyfikatu z podpisem własnym. W przypadku roli RD Web Access można to sprawdzić, odwiedzając witrynę: Błąd certyfikatu

Używany certyfikat pojawia się również w MMC Certyfikaty: certyfikaty MMC przedstawiające certyfikat RD Web Access

Krok # 3 - Przypisz nowy certyfikat

Okno dialogowe Właściwości wdrażania pozwoli mi wybrać mój istniejący certyfikat. Certyfikat musi być umieszczony na komputerach lokalnych Certyfikaty MMC w magazynie certyfikatów „Personal”. Klucz prywatny będzie musiał zostać wyeksportowany i konieczne będzie podanie hasła. Tymczasowo wyeksportowałem mój certyfikat do pliku o nazwie temp.pfxz hasłem, a następnie zaimportowałem go do usług pulpitu zdalnego.

Po wykonaniu tej czynności GUI wskaże, że jest gotowy do zaakceptowania nowej konfiguracji. gotowy do przyjęcia certyfikatu

Po kliknięciu przycisku „Zastosuj” GUI wskazuje sukces. wprowadź opis zdjęcia tutaj

Można to zweryfikować odwiedzając stronę internetową RD Web Access po raz drugi. Nie ma błędu certyfikatu. wprowadź opis zdjęcia tutaj

Krok # 4 - GUI nie utrzymuje swojego stanu

Jeśli GUI zostanie zamknięte i ponownie otwarte, wszystkie te ustawienia wydają się utracone. ustawienia zostały utracone

Właściwie skonfigurowany certyfikat jest nadal używany. Jestem w stanie nadal uzyskiwać dostęp do witryny RD Web Access bez żadnych błędów certyfikatu.

Dziwne, jeśli użyję przycisku „Utwórz nowy certyfikat ...” do wygenerowania certyfikatu z podpisem własnym, okno to zaktualizuje się do poziomu „Niezaufany”. To ustawienie zostanie następnie zachowane poprzez otwarcie i zamknięcie okna dialogowego Właściwości wdrażania.

Czy jest coś, co mogę zrobić, aby moje ustawienia wyglądały na trwałe? Wydaje mi się, że coś jest nie tak, gdy GUI twierdzi, że nie w pełni skonfigurowałem certyfikaty.

Michael Steele
źródło
7
To bardzo dobrze przemyślane pytanie. Sława.
Ryan Ries
Doskonałe pytanie; szkoda, że ​​nie można przypisać więcej + 1- ek . Nie mam laboratorium do testowania, ale znalazłem dobre linki: technet.microsoft.com/en-us/library/cc730805.aspx . technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 i rivald.blogspot.com/2011/06/… Także: blog.kristinlgriffin.com/2010/07/...
Lizz,
Masz jeszcze szczęście, Michael?
Lizz
@Lizz O ile mogę stwierdzić, że certyfikat, którego używamy do usługi roli RD Web Access, jest akceptowany przez klientów. Interfejs użytkownika nadal zgłasza komunikat „Nieskonfigurowane”, mimo że faktycznie używa określonego przeze mnie certyfikatu.
Michael Steele,
Jak twoje rozmycie. Nie tradycyjny.
StackExchange Użytkownik

Odpowiedzi:

2

Wczoraj sprawdziłem naszą farmę i zauważyłem, że jest to Windows 2008 ... Twój jest rok 2012. Jestem pewien, że istnieją duże różnice, ale mam nadzieję, że moje informacje pomogą.

Otwieranie MMC -> Certyfikaty -> Konto komputera Widzę 2 certyfikaty w folderze „osobiste / Certyfikaty”:

  • Certyfikat z podpisem własnym (ten sam wystawca i podmiot)
  • Certyfikat wydany przez nasz urząd certyfikacji domeny

Samopodpisany pokazuje błąd w szczegółach, czy twój certyfikat ma ten sam błąd? Błąd

Aby rozwiązać ten błąd, po prostu skopiuj i wklej certyfikat z podfolderu „osobiste / Certyfikaty” do „Zaufanych głównych urzędów certyfikacji / Certyfikatów”. Na tym etapie ten sam certyfikat nie daje błędu. OK Certyfikat

Potem są tylko dwa miejsca, w których konfigurujesz certyfikat (w RDS Windows 2008), który znalazłem.

Nasz Menedżer RemoteApp pokazuje: Główny

Ustawienia podpisu cyfrowego: DSS

I w „Konfiguracja hosta sesji usług pulpitu zdalnego, w ustawieniach połączenia: RDSHC

Na koniec , i jeśli dobrze pamiętam, rozwiązaliśmy go, sprawdzając wszystkie opcje, przeglądarkę zdarzeń, upewniając się, że nie ma błędów certyfikatu, zapełniając niektóre grupy lokalne, zapewniając im dostęp przez zasady bezpieczeństwa ...

Powodzenia.

---- Zaktualizowano ----

Pamiętaj, aby zaimportować w profilu użytkownika, urzędzie certyfikacji wystawcy lub certyfikacie (jeśli jest on samopodpisany) w „Zaufanych głównych urzędach certyfikacji / certyfikatach”, aby klient nie dostał żadnego błędu certyfikatu. Ten punkt był ważny w naszym systemie.

Carlos Garcia
źródło
Dzięki za informację. Używamy certyfikatów podpisanych przez nasz własny urząd certyfikacji. Problem, który mam, jest unikalny w systemie Windows Server 2012. GUI twierdzi, że certyfikaty nie są poprawnie skonfigurowane lub wcale.
Michael Steele,
2

Miałem ten sam dokładny problem i znalazłem poprawkę. To wszystko, jak utworzyłeś szablon certyfikatu i poprosiłeś o certyfikat.
Oto poprawka:

  1. Utwórz szablon certyfikatu, powielając szablon Komputer
  2. Edytuj nowy certyfikat i te dwa ważne mody 2a. Zezwól na eksport prywatnego klucza 2b. Na karcie Nazwa podmiotu wybierz przycisk opcji „Podaj w żądaniu”
  3. Opublikuj nowy szablon
  4. Utwórz nowe żądanie i wybierz nowy szablon
  5. Dodaj nazwę pospolitą i DNS dla RDWeb. (Dodałem wszystkie serwery RD Farm)

Przykład:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Dodaj plik rdweb.domain.local do przyjaznej nazwy, a następnie wygeneruj certyfikat
  2. Wyeksportuj certyfikat z prywatnym
  3. Zaimportuj do konsoli wdrażania RD.

Robisz to wszystko, a poziom będzie zaufany, a status będzie OK

Todd Ouimet
źródło