Установить сертификат в свойствах RDP-TCP
Я пытаюсь получить сертификаты для работы на нашем Терминальном сервере Windows 2008. В настоящее время, когда мы входим в систему с использованием клиента RDP 6.1, мы получаем предупреждение о сертификате о том, что сертификат rdp.geas.local не является доверенным.
У меня есть сертификат для нашего адреса external.com, который мы используем на нашем сервере Exchange 2007, и я пытаюсь установить тот же сертификат на нашем сервере терминалов.
Однако, когда я добрался до «Конфигурация служб терминалов» -> «Свойства RCP-TCP» и щелкнул «Выбрать», чтобы открыть диалоговое окно «Выбор сертификата», я смог выбрать только самозаверяющий сертификат для локального компьютера.
Я установил наш действующий сертификат в доверенных корневых сертификатах, личных и сторонних корневых сертификатах, но он по-прежнему не отображается в диалоговом окне «Свойства RDP-TCP».
Требуется ли сертификат определенного типа, или я просто устанавливаю сертификат не в тот магазин?
Ваш сертификат либо импортируется неправильно (так что он связан с его закрытым ключом), либо находится в неправильном месте, либо это неправильный тип сертификата.
Если вы устанавливаете его правильно, свойства сообщат вам, что он связан с этим закрытым ключом, вы также увидите наложение ключа на значке сертификата, указывающее на то же самое. Если вы этого не видите, то это не сработает.
Что касается местоположения, оно должно быть в хранилище личных сертификатов для машина не пользователь. Правильный способ импортировать его, чтобы он попал в нужное место, - открыть MMC от имени администратора, добавить плагин Certificates и выбрать вариант использования учетной записи компьютера. Затем выберите личный магазин, щелкните правой кнопкой мыши, Все задачи и затем импортируйте оттуда.
Однако мне кажется наиболее вероятным, что сертификат не имеет правильного значения OID расширенного использования ключа в списке EKU. Чтобы сертификат использовался для RDP, он должен иметь серверную аутентификацию (1.3.6.1.5.5.7.3.1) где-нибудь в списке. Это упоминается как требуемый OID в этой статье Technet это более подробно раскрывает требования к сертификатам TS.
Также есть вероятность, что у вас могут возникнуть проблемы, если имя сервера не соответствует имени сертификата - я не могу найти ничего, что говорит о том, что они должны совпадать, но меня бы не удивило, если бы им пришлось.