В моем офисе есть один сетевой сервер под управлением Windows 2003 SP2. Это НЕ ВЕБ-СЕРВЕР. Всего имеется 7 рабочих станций, на каждой установлена Windows XP. На двух рабочих станциях моих клиентов установлены сканеры кредитных карт. У меня есть статический IP-адрес, чтобы подключиться к моему офисному серверу с помощью функции Windows RDP.
Специалисты по Сканеру кредитных карт теперь хотят, чтобы я «настроил службы терминалов для использования SSL для аутентификации сервера». Их беспокоит «человек в центре атаки».
Если я подключаюсь к продавцу SSL, например, Godaddy, или, если уж на то пошло, к любому продавцу, и в свою очередь покупаю сертификат SSL, могу ли я загрузить этот сертификат? Нужно ли мне настраивать его на сервере для выдачи PKI. Я просто не знаю, что делать после скачивания сертификата. Какие именно шаги выполняются после покупки SSL-сертификата?
Это должно быть само собой разумеющимся, но я все равно скажу, любая помощь будет принята с благодарностью.
Вам просто нужно настроить сервер так, чтобы он требовал TLS (ни одна версия терминального сервера / удаленного рабочего стола не поддерживает SSL; они неправильно используют этот термин, чтобы непрофессионалы поймут, с надеждой).
Вам нужен сертификат. Вы можете настроить службы сертификации на сервере и выпустить свои собственные, больше работы, чем для одного сертификата. Или вы можете получить его в одном из бесплатных центров сертификации. Или вы можете использовать платный CA, как вы упомянули в вопросе. В любом случае убедитесь, что имя субъекта (SN) - это DNS-имя, которое вы используете для удаленного доступа к серверу.
Установите сертификат, центр сертификации должен предоставить указания. Краткая версия: запустить mmc, добавьте оснастку Certficates для локального компьютера, в разделе «Личные сертификаты» импортируйте файл pfx из центра сертификации.
Затем настройте сервер на использование TLS и Cert. Откройте mmc «Конфигурация служб терминалов», «Подключения», «Свойства», «Изменить сертификат», установите сертификат для использования и использования TLS (здесь тоже можно назвать SSL, 2003 - это древняя система, которую я давно не использовал).
Редактировать:
Официальное руководство по настройке TS Windows Server 2003 для использования TLS для проверки подлинности сервера
Изменить 2:
Общее имя (CN) - это имя, которое отображается в сертификате, который вы получаете от CA. Это имя должно соответствовать тому, что вы вводите для подключения к серверу. Например, вы можете использовать server1.example.com. Когда вы запускаете «Подключение к удаленному рабочему столу», и он запрашивает «Компьютер», все, что вы вводите, должно соответствовать CN. Если он не совпадает, скажем, вы вводите IP-адрес (для которого большинство общедоступных центров сертификации не выдаст сертификат), вы будете получать предупреждающее сообщение при каждом подключении. Это предупреждающее сообщение можно отключить, но это уничтожит цель всего этого.
Находиться в рабочей группе или в домене не имеет значения. Единственное незначительное отличие состоит в том, что в домене у сервера уже должно быть полное DNS-имя (т.е. server1.example.com выше); где в рабочих группах к компьютерам можно обращаться только по их NetBIOS-имени (server1 в текущем примере). Так что вам, возможно, придется выяснить, какое доменное имя использовать. Если у вас еще нет доменного имени, вам придется его приобрести (это доменное имя DNS; не домены Active Directory; я знаю, плохой выбор имени).
«Настроить сервер для использования TLS и сертификата» - это две экранные опции, которые вы увидите в диалоговом окне. В раскрывающемся списке будут перечислены доступные сертификаты, а в другом раскрывающемся списке перечислены доступные параметры безопасности (один из которых будет требовать TLS или что-то подобное).
Если это не так, вы можете обратиться к местному консультанту. На настройку уйдет около часа или меньше, и это будет отличный способ оценить компетентность местной компании.