Korzystanie z certyfikatu CA do połączenia z pulpitem zdalnym

22

Łączę się przez Internet ze zdalnym systemem Windows Server 2012 R2 za pomocą Podłączania pulpitu zdalnego na potrzeby administracyjne. Jest to pojedynczy serwer WWW i bazy danych bez AD itp.

Nie mówię o usługach pulpitu zdalnego / serwerze terminali, tylko prostą funkcję pulpitu zdalnego aktywowaną za pomocą Panelu sterowania> System> Ustawienia zdalne. Serwer automatycznie utworzy samopodpisany certyfikat w celu zaszyfrowania połączenia, a klient Podłączania pulpitu zdalnego wyświetli błąd certyfikatu z powodu niezaufanego urzędu certyfikacji.

Mam certyfikat CA podpisany na FQDN tego serwera i ważny do uwierzytelnienia serwera (używam go do zdalnego dostępu do serwera MSSQL).

Chciałbym użyć tego również do połączeń RDP. Wszystkie samouczki (jak to pytanie ), które znalazłem do tej pory, opisują proces usług pulpitu zdalnego lub usługi terminalowej. Znalazłem to pytanie z wmicpoleceniem ustawienia certyfikatu, ale nie chcę próbować ustawiać niektórych wartości, gdy nie wiem, co dokładnie robię. To, co zrobiłem, to dodanie go do Certyfikatów pulpitu zdalnego komputera lokalnego, na którym znajduje się również automatycznie wygenerowany samopodpisany.

Czy to jest możliwe? Jeśli tak, co mam zrobić?

Dzięki!

poślubić
źródło

Odpowiedzi:

26

Znalezione pytanie, które wspomina wmico ustawianiu wartości odcisku palca certyfikatu, powinno działać bez instalacji dodatkowych funkcji. Zadałem i odpowiedziałem na podobne pytanie tutaj nieco bardziej szczegółowo. Ma również odpowiednik PowerShell dla polecenia wmic. Ale dodam tu także trochę wyjaśnień.

Ponieważ już używasz tego certyfikatu dla MSSQL SSL, zakładam, że jest już zainstalowany w jednym z magazynów certyfikatów w systemie. Jeśli zainstalowałeś go w kontekście konta usługi, na którym działa MSSQL, może być również konieczne zainstalowanie go w magazynie Personal lub Remote Desktop również na „komputerze lokalnym”.
wprowadź opis zdjęcia tutaj

Kiedy już tam jest, wystarczy zaktualizować SSLCertificateSHA1Hashwartość, Win32_TSGeneralSettingaby wskazywała ją za pomocą jednego z poleceń z mojego poprzedniego pytania .

Jeśli chcesz sprawdzić, jaka jest obecnie wartość i porównać ją z certyfikatem z podpisem własnym, możesz zmienić wmicpolecenie na następujące. Możesz także użyć tego do sprawdzenia, czy nowa wartość odcisku palca, którą próbujesz ustawić, jest poprawna.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Dane wyjściowe powinny wyglądać mniej więcej tak:
wprowadź opis zdjęcia tutaj

Ryan Bolger
źródło
2
Dzięki! które działały tak jak ja, nie wiem, dlaczego nie znalazłem twojego oryginalnego Q / A w pierwszej kolejności. Nie mam wystarczającej liczby przedstawicieli, aby wyrazić opinię, ale będę ją przechowywać w rejestrze zaległości, dopóki nie zadziała.
ślub
Przynajmniej w systemie Windows 7 nie ma potrzeby przenoszenia certyfikatu do sklepu „Pulpit zdalny”. „Osobisty” magazyn certyfikatów działa dobrze.
André Borie
Z jakiej aplikacji jest zrzut ekranu z czerwoną ikoną przybornika w lewym górnym rogu?
Kyle Humfeld
To po prostu standardowy Windows mmc.exe (Microsoft Management Console), który jest ogólną aplikacją hosta dla szeregu mini aplikacji napisanych przy użyciu tych samych konstrukcji interfejsu użytkownika, zwanych przystawkami. Przystawka załadowana do zrzutu ekranu jest przystawką Certyfikaty.
Ryan Bolger
2

Przewodniki odnoszące się do usług pulpitu zdalnego / usług terminalowych dotyczą również serwera, na którym działa tylko domyślna usługa RDP - jest to po prostu bardziej ograniczona instancja tej samej usługi.

W tych przewodnikach może brakować narzędzi do administrowania usługą - musisz zainstalować narzędzia do administrowania rolami dla usług pulpitu zdalnego, aby móc zarządzać usługą.

Install-WindowsFeature -Name RSAT-RDS-Tools
Shane Madden
źródło
1
Ponieważ jest to wersja 2012R2, mógł także użyć komend Powershell do zarządzania swoimi certyfikatami. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate itp. Nie powinien potrzebować narzędzi administratora roli do skonfigurowania go za pomocą PowerShell.
Zoredache,
@Zoredache Dzięki za podpowiedź. Próbowałem Get-RDCertificaterozpocząć, ale otrzymałem następujący błąd: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.Więc obawiam się, że muszę zainstalować przynajmniej coś, prawda? Czy powinienem kontynuować proponowane funkcje @ShaneMadden?
poślubić
Hm, właściwie tego nie próbowałem. Właśnie próbowałem uruchomić go na serwerze 2012R2, który w pełni skonfigurowałem jako usługi pulpitu do celów testowych. Wystąpił ten sam błąd, więc teraz jestem zdezorientowany, ponieważ to z pewnością powinno działać.
Zoredache,
@Zoredache Więc to nie ja przynajmniej ... Cóż, spróbuję z Install-WindowsFeature -Name RSAT-RDS-Toolsnastępnym i zdam raport.
ślub
1
@ShaneMadden Wskazujesz właściwy kierunek, ale w rzeczywistości wymagany jest cały pakiet. Może zaktualizujesz swoją odpowiedź, aby odzwierciedlić ją dla tych, którzy przyjdą.
ślub