Использование сертификата CA для подключения к удаленному рабочему столу
Я подключаюсь через Интернет к удаленному Windows Server 2012 R2 через подключение к удаленному рабочему столу для административных нужд. Это единый веб-сервер и сервер базы данных без AD и т. Д.
Я не говорю о службах удаленного рабочего стола / сервере терминалов, просто о простой функции удаленного рабочего стола, активируемой через Панель управления> Система> Удаленные настройки. Сервер автоматически создаст самозаверяющий сертификат для шифрования соединения, а клиент подключения к удаленному рабочему столу покажет ошибку сертификата из-за ненадежного центра сертификации.
У меня есть подписанный ЦС сертификат, выданный для полного доменного имени этого сервера и действительный для аутентификации сервера (я использую его для удаленного доступа к серверу MSSQL).
Я бы тоже хотел использовать его для RDP-подключений. Все руководства (например, это вопрос) Я нашел до сих пор описание процесса для служб удаленных рабочих столов или службы терминалов. я нашел этот вопрос заявляя wmic команда для установки сертификата, но я не хочу пытаться установить некоторые значения, если я не знаю, что именно я делаю. Что я сделал, так это добавил его в сертификаты удаленного рабочего стола локального компьютера, где также находится автоматически сгенерированный самоподписанный.
Это возможно? Если да, что мне делать?
Спасибо!
В вопросе, который вы обнаружили, упоминается использование wmic для установки значения отпечатка сертификата должно работать без установки дополнительных функций. Я спросил и ответил аналогичный вопрос здесь с немного более подробной информацией. Он также имеет эквивалент PowerShell для команды wmic. Но я также добавлю здесь еще несколько пояснений.
Поскольку вы уже используете этот сертификат для MSSQL SSL, я предполагаю, что он уже установлен в одном из хранилищ сертификатов в системе. Если вы установили его в контексте учетной записи службы, под которой работает MSSQL, вам также может потребоваться установить его в хранилище личных или удаленных рабочих столов для «Локального компьютера».
Как только он появится, вам просто нужно обновить SSLCertificateSHA1Hash ценность в Win32_TSGeneralSetting чтобы указать на него, используя одну из команд в моем предыдущий вопрос.
Если вы хотите проверить текущее значение и сравнить его с самозаверяющим сертификатом, вы можете изменить wmic команду к следующему. Вы также можете использовать это для проверки правильности нового значения отпечатка, которое вы пытались установить.
wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
Результат должен выглядеть примерно так:
Руководства, относящиеся к службам удаленных рабочих столов / службам терминалов, также применимы к серверу, на котором просто запущена служба RDP по умолчанию - это просто более ограниченный экземпляр той же службы.
В этих руководствах вам может не хватать инструментов для администрирования службы - вы захотите установить инструменты администрирования ролей для служб удаленных рабочих столов, чтобы иметь возможность управлять службой.
Install-WindowsFeature -Name RSAT-RDS-Tools