Как обновить сертификат для RDP на SBS 2011

Возможно, я делаю неправильную процедуру (я не специалист по серверам Windows).

Наш сервер использовал самозаверяющий сертификат 128 SHA1 для RDP на SBS 2011. Срок действия сертификата истек. Я приступил к созданию нового сертификата из сертификата сервера IIS 7, выбрав опцию «Создать самозаверяющий сертификат».

Затем я перешел в Конфигурацию узла сеанса удаленного рабочего стола, затем щелкнул правой кнопкой мыши RDP-Tcp, затем выбрал сгенерированный сертификат в свойствах RDP-Tcp.

После применения и повторного тестирования RDP я получаю предупреждение о том, что «этому корневому сертификату CA не доверяют. Для включения доверия ...»

Несмотря на то, что я могу установить RDP, жалоба есть.

Как я могу это исправить?

Правильный способ обновить или добавить сертификаты (самозаверяющие или подписанные общедоступным центром сертификации) в Windows Small Business Server - это использовать мастер «Исправить мою сеть» консоли Windows SBS. Мастер делает две вещи:

Если вы используете самозаверяющий сертификат, срок действия которого истек, он обновляет его.
Он правильно (повторно) устанавливает существующий сертификат в различных службах на сервере, которые используют этот сертификат, таких как Exchange, удаленный веб-доступ, посредник сеансов удаленного рабочего стола и т. Д. Никогда не следует устанавливать сертификаты в этих службах вручную на сервере SBS.

Запустите мастер Fix my network, чтобы исправить сертификат следующим образом:

Запустите консоль Windows SBS.
Щелкните значок сети вверху, затем щелкните значок Связь вкладка
На правой панели щелкните Исправить мою сеть
Если обнаружено несколько проблем, вам необходимо исправить ту, которая называется Срок действия самостоятельной сертификации истек

Теперь, в вашем случае, поскольку вы уже вручную обновили сертификат, мастер может не найти просроченный сертификат для исправления. Если это так, переустановите уже обновленный сертификат через консоль SBS следующим образом:

Запустите консоль Windows SBS.
Щелкните значок сети вверху, затем щелкните значок Связь вкладка
На правой панели щелкните Добавить доверенный сертификат
Когда мастер запустится, нажмите следующий
На Получить сертификат выбор экрана Я хочу использовать сертификат, который уже установлен на сервере затем щелкните следующий
Выберите правильный сертификат из списка и нажмите следующий
Мастер установит сертификат. щелкнуть финиш когда сделано.

Как я ожидаю, что это решит вашу проблему

Основываясь на вашем комментарии, все машины, использующие RDP на сервере, присоединены к домену. Следовательно, все они должны доверять сертификату, установленному консолью SBS. Только рабочие станции, не принадлежащие домену, нуждаются в дополнительных действиях, выполняемых для того, чтобы доверять самозаверяющему сертификату, используемому сервером SBS, а именно с помощью предоставленного пакета установки сертификата для настройки компьютера, не являющегося доменом, для добавления сертификата в свое хранилище доверенных корневых сертификатов.

Чтобы получить надежный сертификат, вам нужно сделать одно из двух.

Получите публичный сертификат от платного провайдера или от проекта LetsEncrypt
Создайте центр сертификации для внутреннего использования

Let's Encrypt - отличный проект, но для подтверждения владения доменом потребуется HTTP из Интернета, открытый для вашего сервера.

Создание внутреннего центра сертификации может быть выполнено путем добавления на сервер роли «Службы сертификации Active Directory». Обычно не рекомендуется устанавливать CA на контроллер домена, но в SBS это то, на чем все основано.

https://technet.microsoft.com/en-us/library/cc731183(v=ws.11).aspx

Третий способ исправить это как разовое исправление для одного сервера - создать самозаверяющий сертификат с соответствующим именем. Затем вам нужно будет получить копию сертификата и поместить ее в доверенные корневые центры сертификации для каждого компьютера, который устанавливает соединение. При необходимости это можно сделать через GPO.