У нас есть сервер 2016, на котором запущены службы сертификации AD. Нашей команде было предложено создать новый сертификат RDP, чтобы ошибки самозаверяющего сертификата исчезли при входе RDP в систему. Пошли дальше, создали новый сертификат и установили его в «Машинные сертификаты> Личные» со следующими атрибутами:
Использование ключа = шифрование ключа / шифрование данных
Расширенное использование ключа = проверка подлинности сервера
Использовал команду в следующей статье: Настроить собственный сертификат SSL для RDP на Windows Server 2012 (и более поздних версиях) в режиме удаленного администрирования?
wmic / namespace: \ root \ cimv2 \ TerminalServices ПУТЬ Win32_TSGeneralSetting Установить SSLCertificateSHA1Hash = "THUMBPRINT"
Заменено "THUMBPRINT" отпечатком нового сертификата, который мы создали. Команда выполнена успешно. Однако теперь всякий раз, когда мы пытаемся подключиться к системе по протоколу RDP, мы получаем следующую ошибку: «Произошла внутренняя ошибка». Полезно, верно?
При просмотре окна «Просмотр событий Server 2016»> «Системные журналы» отображается следующая ошибка: «От удаленного клиентского приложения был получен запрос на подключение TLS 1.0, но ни один из наборов шифров, поддерживаемых клиентским приложением, не поддерживается сервером. Запрос на подключение SSL провалился."
Выполнил захват Wireshark на клиенте RDP. Как только клиентское Hello TLS 1.2 отправлено, сервер немедленно отвечает TCP RST. Так что происходит какое-то несоответствие шифров, которое я не знаю, как его найти. Также я не могу вернуться к использованию старого самозаверяющего сертификата RDP, потому что приведенная выше команда «wmic», похоже, не любит самозаверяющий отпечаток сертификата (дает мне ошибку недопустимого свойства).
У кого-нибудь есть идеи относительно того, в чем может быть причина?