Pulpit zdalny wciąż prosi mnie o zaakceptowanie certyfikatu?

22

Korzystam z pulpitu zdalnego w Windows 7 RC1, łącząc się z serwerem Windows 2008.

Za każdym razem, gdy nawiązuję połączenie, pojawia się następujące okno podręczne: -

wprowadź opis zdjęcia tutaj

Problem z certyfikatem ma sens -> został utworzony z mojego własnego serwera, który nie jest oficjalnym urzędem certyfikacji. Pewnie. Muszę więc powiedzieć mojej maszynie, że możesz zaakceptować dowolny certyfikat pochodzący z mojego serwera.

Wyświetlam więc certyfikat i instaluję go. Pozwalam określić najlepsze miejsce do zainstalowania. na przykład

wprowadź opis zdjęcia tutaj

Niestety za każdym razem, gdy się łączę, wciąż pojawia się to pytanie.

Próbowałem więc ręcznie powiedzieć, gdzie go zainstalować. Powiedziałem, aby zainstalować go np.

wprowadź opis zdjęcia tutaj

ale wciąż otrzymuję ostrzeżenie.

Więc .. czy ktoś ma jakieś sugestie?

Pure.Krome
źródło
Nie sądzę, że masz na to oryginalne obrazy? Od tego czasu Imageshack je usunął. To pytanie ma wiele poglądów i głosów, więc dobrze byłoby je przywrócić, jeśli to możliwe. Niestety Archive.org nie ma kopii zdjęć do zdjęć.
Mark Henderson
:( szczerze przepraszam @MarkHenderson, ja nie.
Pure.Krome
Sam je odtworzyłem. Mam nadzieję, że były wystarczająco zbliżone do oryginału.
Mark Henderson
Tak - te dzwonki. ta!
Pure.Krome

Odpowiedzi:

25

Certyfikat należy dodać do sklepu „Zaufane główne urzędy certyfikacji” na komputerze lokalnym . Dodanie go do sklepu użytkownika „Zaufane główne urzędy certyfikacji” nie wystarczy ! Jeśli brzmi to myląco, nie martw się - tak jest.

Jeśli uważasz, że już zainstalowałeś certyfikat, przejdź do „Przenieś certyfikat na klienta”.

Eksportuj certyfikat na serwer

Najpierw certyfikat należy wyeksportować do pliku. Na serwerze, tj. Na komputerze, z którym chcesz się połączyć:

  1. Biegać %windir%\System32\mmc.exe
  2. Menu File->Add/Remove Snap-in...
  3. Wybierz Certificates-> Add >-> Computer account-> Local computer->Finish
  4. OKAdd or Remove Snap-insdialogowe. Konsola powinna teraz zawierać Certificates (Local Computer).
  5. Wybierz Certificates (Local Computer)-> Remote Desktop-> Certificates. Powinien istnieć pojedynczy certyfikat z nazwą komputera.
  6. Otwórz certyfikat.
  7. Otwórz Detailszakładkę.
  8. Copy to File...
  9. Wybierz dowolny format, np DER encoded binary X.509 (.CER).
  10. Wpisz dowolną nazwę pliku, np <computername>.cer.
  11. Skopiuj plik na komputer kliencki.

Innym sposobem na uzyskanie certyfikatu jest wykonanie kroków od 6 do 10 na komputerze klienckim w oknie dialogowym ostrzeżenia Pulpitu zdalnego wymienionym w pytaniu. Ale w tym przypadku ufasz sieci. Przynajmniej porównaj odciski palców, aby mieć pewność, że ufasz właściwemu certyfikatowi.

Zaimportuj certyfikat do klienta

Na kliencie, tj. Na komputerze, z którym się łączysz, otrzymasz wyskakujące okienko z ostrzeżeniem:

  1. Biegać %windir%\System32\mmc.exe
  2. Menu File->Add/Remove Snap-in...
  3. Wybierz Certificates-> Add-> Computer account-> Local computer->Finish
  4. OKAdd or Remove Snap-insdialogowe. Konsola powinna teraz zawierać Certificates (Local Computer).
  5. Wybierz Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates.
  6. Menu Action-> All Tasks-> Import....
  7. Wprowadź ścieżkę do wyeksportowanego certyfikatu, np <computername>.cer.
  8. Place all certificates in the following store-> Trusted Root Certification Authorities.
  9. Finish. Nie powinieneś już otrzymywać ostrzeżenia.

Przenieś certyfikat na klienta

Jeśli certyfikat został już zainstalowany za pomocą okna dialogowego ostrzeżenia, certyfikat można znaleźć w sklepie bieżącego użytkownika. Pomiń powyższe kroki i po prostu przenieś certyfikat we właściwe miejsce:

  1. Wykonaj kroki od 1 do 3 zgodnie z opisem w „Importuj certyfikat na klienta”.
  2. Dodaj kolejną Certificatesprzystawkę, tym razem dla My user account.
  3. Certyfikat powinien gdzieś tu być. Spróbuj Certificates - Current User-> Intermediate Certification Authorities-> Certificatesnajpierw.
  4. Przeciągnij i upuść lub wytnij i wklej certyfikat do Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates. Pamiętaj, że magazyny certyfikatów stosu, więc nadal będziesz widział certyfikat w sklepie użytkownika! Nie powinieneś już otrzymywać ostrzeżenia.
Ronald Blaschke
źródło
2
Niezły post i mam kontynuację, którą chętnie opublikuję na nowe pytanie. Jak można to zrobić na większą skalę? tzn. Czy można wygenerować i zaimportować certyfikat wieloznaczny, aby umożliwić połączenie ze wszystkimi komputerami w tej samej domenie?
Taylor Gerring
Czy tak się stanie automatycznie, jeśli zaznaczysz pole „Nie pytaj mnie ponownie o połączenia z tym komputerem”? Dlaczego zalecamy importowanie certyfikatu zamiast korzystania z niego?
binki
4

Myślę, że musisz sprawdzić ścieżkę certyfikatu i sprawić, aby komputer ufał rzeczywistemu katalogowi głównemu i / lub produktom pośredniczącym, a nie samemu certyfikatowi. Możesz również zobaczyć pod zakładką ścieżki, gdzie leży rzeczywisty problem ...

Na zdjęciach instalowany certyfikat nie wydaje się być nieprawidłowy - źródłem problemu jest ... eh .. to była głupia gra słów, przepraszam ^ ^

Oskar Duveborn
źródło
jasne .. ale jak?
Pure.Krome
Jeśli klikniesz opublikowaną zakładkę Ścieżka certyfikacji i wybierzesz węzeł główny w drzewie (lub inny węzeł, w którym występuje problem), możesz go wyświetlić, a następnie zainstalować lub co nie ...
Oskar Duveborn
Po kliknięciu karty Ścieżka certyfikacji jedynym sposobem, w jaki znalazłem instalację certyfikatu wyżej, było kliknięcie opcji Kopiuj do pliku ..., a następnie zainstalowanie tego pliku. Certyfikat wyświetlał się poprawnie w mojej przystawce do certyfikacji, jednak nie rozwiązał problemu.
Dylan Meador
1

Jeśli sam utworzyłeś certyfikat, musisz mieć zainstalowany urząd certyfikacji na swoim serwerze. Trzeba uzyskać certyfikat główny z urzędu certyfikacji i zainstalować że do Trusted Root Certification WŁADZ sklepu - nie jest to, że certyfikat wydany do serwera RDP.

Tim Long
źródło
1
  1. Kliknij „Wyświetl certyfikat ...”
  2. Kliknij „Zainstaluj certyfikat”
  3. Kliknij „Dalej” w kreatorze importu
  4. Wybierz przycisk „Umieść wszystkie certyfikaty w następującym sklepie”
  5. Kliknij „Przeglądaj ...”
  6. Zaznacz pole wyboru „Pokaż sklepy fizyczne”
  7. Rozwiń Zewnętrzne główne urzędy certyfikacji
  8. Wybierz „Komputer lokalny”
  9. Kliknij OK"
  10. Kliknij „Dalej”, a następnie „Zakończ”, aby zakończyć działanie kreatora
ctsears
źródło
1

Nie udało mi się zaakceptować certyfikatu przy użyciu niczego sugerowanego, jednak można dostosować funkcjonalność obsługi certyfikatu w ustawieniach RDP, aby nie było wymagane rozpoczęcie sesji RDP.

  1. Otwórz instancję RDP i kliknij opcje
  2. Następnie kliknij kartę Zaawansowane
  3. Wybierz „Połącz i nie ostrzegaj mnie” w sekcji Uwierzytelnianie serwera
  4. Następnie ustaw pozostałe szczegóły jak zwykle i naciśnij Połącz.

To zatrzyma występowanie bloku uwierzytelniania certyfikatu.

ArchieVersace
źródło
To całkiem sprytna rzecz :) Mogę po prostu spróbować: P
Pure.Krome
1

Właśnie rozwiązałem ten problem na własnym systemie, mam nadzieję, że dotyczy tego samego problemu. Wygląda na to, że kreator importu certyfikatu wywoływany przez pulpit zdalny nie przechowuje certyfikatu w magazynie zaufanych głównych urzędów certyfikacji, nawet jeśli kreator wskazuje, że import się powiódł.

Można to zweryfikować, wywołując mmc z poradnika i dodając przystawkę certyfikacji, aby wyświetlić zawartość sklepu zaufanych głównych urzędów certyfikacji.

Obejściem tego problemu jest zapisanie certyfikatu (z hosta) w pliku, a następnie zaimportowanie go na kliencie za pomocą mmc do magazynu zaufanych głównych urzędów certyfikacji na komputerze klienckim.

Myślę, że może to być błąd wprowadzony w win 7 sp1 (lub funkcja ...)

Don
źródło
zdarzyło mi się to PRZED SP1 ... ale to całkiem interesujące. Spróbuję :) Wyjaśnienie: czy sugerujesz, aby najpierw zapisać certyfikat (eksportować certyfikat) na serwerze hosta? następnie skopiować go z serwera hosta do klienta?
Pure.Krome
Powinno to działać, problemem wydaje się (przynajmniej z tego, co widziałem) kreator importu powiązany ze stroną klienta zdalnego terminalu. Odniosłem również sukces przeglądając, a następnie zapisując certyfikat na dysku, najpierw łącząc się z hostem po stronie klienta, a następnie używając mmc do zaimportowania certyfikatu do zaufanego magazynu certyfikatów. Wydaje się, że kluczem jest importowanie za pomocą mmc, a nie kreatora
Don
0

Tuż nad przyciskiem Wyświetl certyfikat znajduje się znacznik wyboru informujący, że nie pytaj mnie ponownie o połączenia z tym komputerem . Sprawdź to.

Andrew Moore
źródło
Nie - nie tego dokładnie chcę. To prawda, że ​​nie zadaje mi tego irytującego pytania ... ale za kulisami certyfikat wciąż nie jest zaufany (nawet jeśli to nie ma znaczenia).
Pure.Krome
-1

Miałem tylko krótkie i bolesne doświadczenia z certyfikatami, ale moją propozycją byłoby wypróbowanie sklepu osobistego zamiast zaufanych głównych urzędów certyfikacji.

Adrian Anttila
źródło
Myślałem, że Personal jest przechowywany domyślnie? Nadal zostałem poproszony o zaakceptowanie certyfikatu, nawet po ręcznym zaimportowaniu go do sklepu persone.
Pure.Krome