Мне нужно подключить RDP к нескольким машинам за внешним статическим IP-адресом. Я использую метод перенаправления выбранных портов на целевой IP: 3389. Например.
forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...
Что отлично работает. Но теперь я хочу использовать SSL / TLS и защитить сеансы RDP. Я могу использовать сертификат аутентификации сервера RDP с хост-компьютера и установить его в хранилище доверенных корневых центров сертификации клиентского компьютера, однако имя хоста RDP не соответствует внешнему IP-адресу, и я получаю сообщение об ошибке сертификата.
Внешний IP-адрес статический и не изменится, но порт обязательно изменится. Итак, могу ли я использовать групповой сертификат и сопоставить статический IP-адрес с поддоменом и продолжать использовать переадресацию портов таким образом, не сталкиваясь с ошибкой сертификата?
Спасибо вам всем...
Во-первых, субъекту сертификата (а также расширению Subject Alternate Names) нужна информация о порте, поскольку сертификат идентифицирует удаленный хост, а не конкретную службу на удаленном хосте.
Во-вторых, тема сертификата должна совпадать с типами клиентов с именем / адресом в адресной строке / поле. Необязательно совпадать с внутренним именем / адресом.
Это означает, что для ваших целей безопасно создать единый сертификат с общедоступным IP / именем в поле Тема. Раздайте этот сертификат всем необходимым клиентам за вашим NAT, и все будет в порядке.