Назад | Перейти на главную страницу

mstsc не может проверить личность удаленного сервера Amazon

Когда я подключаюсь к экземпляру Amazon под управлением Windows Server 2003 R2, mstsc говорит, что не может проверить подлинность удаленного сервера. Как на этом изображении:

Но в моем случае имя сертификата: i-0e427eaa3f0b7ca11. Проблема не в инфраструктуре Amazon, не так ли?

Я предполагаю, что каждый экземпляр Amazon создается из заранее подготовленного образа. И поэтому мне нужно перевыпустить сертификат. Я нашел инструкции, как я сделай это. Но в основном они идут так: удалить какие-то файлы, перезагрузиться, профит. Так обычно перевыпускают сертификат? Решит ли это мою проблему?

UPD Я обнаружил сертификат (и множество других сертификатов с похожими именами) в MMC> Certificates (Local Computer)> Personal> Certificates. На другом сервере, отличном от Amazon, я не вижу сертификатов в этой папке. Сертификат содержит полное имя компьютера в виде понятного имени (но не в качестве темы). И не совсем понятно, что заставляет сервер выбирать именно этот сертификат. Полагаю, я не могу его удалить. Вероятно, он используется Amazon по техническим причинам.

Вообще вопрос, что происходит? Как выбирается сертификат? Как я могу на это повлиять? Кто так делает? Если в личной папке нет сертификатов, устанавливается соединение без TLS?

У вас две проблемы.

  1. Имя сервера не совпадает с именем в сертификате.
  2. Сертификат не является доверенным.

Чтобы решить эту проблему

  1. Вам не обязательно совпадать с именем хоста сервера, сертификат должен совпадать с DNS-именем, которое использует клиент. Если имя DNS изменится, получите что-то вроде DynDNS или имя в вашем собственном домене, которое вы можете обновить до правильного IP-адреса. Таким образом, имя, которое вы используете, останется прежним, и вы будете знать, какое имя указать в сертификате.

  2. Заставьте своего клиента доверять сертификату. Либо создайте самоподписанный сертификат и сделайте так, чтобы клиент доверял ему, либо получите сертификат от letsencrypt или другого ЦС, которому уже доверяют. Или настройте свой собственный центр сертификации, но это, вероятно, не стоит усилий для одного сервера.

Запустите mmc и добавьте оснастку MMC диспетчера конфигурации удаленного рабочего стола, чтобы выбрать сертификат.