Назад | Перейти на главную страницу

Точки распространения сертификатов RDP

Я получаю сообщение «Ваш компьютер не может подключиться к удаленному компьютеру, поскольку срок действия сертификата сервера шлюза удаленных рабочих столов истек или он был отозван» при попытке доступа к серверу шлюза служб терминалов, опубликованному через Forefront. Используемый сертификат получен от моего внутреннего корпоративного центра сертификации.

Насколько я могу судить, типы выстраиваются в линию, и вся цепочка может быть правильно проверена. Ничего интересного не отображается в системных журналах моего TS, TS Gateway, Forefront или клиента. Единственное, о чем я могу думать, так это о какой-то проблеме с валидацией. Не знаю, откуда и как проводить дальнейшую диагностику.

ИЗМЕНИТЬ - Я подтвердил, что путь к сертификату на моем сервере соответствует следующему.

certutil -verify -urlfetch mycert.cer
....
Verified Issuance Policies: None
Verified Application Policies:
   1.3.6.1.5.5.7.3.1 Server Authentication
Leaf certificate revocation check passed
CertUtil: -verify command completed successfully.

Тот же сертификат, который используется в IIS, также используется на экране TS Gateway.

РЕДАКТИРОВАТЬ - клиент работает под управлением Windows 7, версия mstsc 6.1.7601.17514.

РЕДАКТИРОВАТЬ - интересно ... похоже, что RDP должен иметь включенный OCSP, чтобы выполнять поиск CRL. http://www.experts-exchange.com/Networking/Security/Q_25072298.html

Либо:

  1. На компьютере клиента в папке Trust Root Certs сертификат CA Root не установлен.
  2. URL-адрес CRL в сертификате не может быть разрешен клиентом или возвращает устаревший CRL.

По умолчанию центры сертификации MS настроены для публикации списков отзыва сертификатов только в AD, который недоступен из внешнего мира. MSTSC 6.0+ вернет эту ошибку, если они не могут получить список отзыва сертификатов и URL-адрес указан.