Возможно ли достижение сертификата RDP / SSO Nirvana без уникального общедоступного домена Active Directory (т.е. с использованием foo.local вместо corp.foo.com)? то есть сквозной, нулевой ворчания, сеансы RDP (RemoteApp + Remote Desktop) без требуется установка сертификата на стороне клиента.
Я хочу сохранить этот высокий уровень: я могу работать над процессом планирования / конфигурации (и задавать дополнительные вопросы по мере необходимости), но прежде чем я пойду по этому пути (вместо того, чтобы смотреть на альтернативы, такие как Citrix), я хочу знать, если это возможно.
Без установка сертификатов на ваших клиентов? Тогда ответ просто отрицательный. Нет нет.
Однако возможно если только вы распространяете корневой сертификат, используемый для сеансов RDP, каждому клиенту, который будет устанавливать эти подключения RDP.
Если у меня есть домен с именем INamedMyDomainPoorly.local, ни один глобально доверенный центр сертификации, такой как Godaddy или Cybertrust, не будет выдавать для этого сертификат. Но я могу легко создать свой собственный внутренний центр сертификации, ca.INamedMyDomainPoorly.local, выпустить сертификат для rdsessionhost.INamedMyDomainPoorly.local, а затем добавить сертификат корневого CA (и цепочку, если применимо) в хранилище Trusted Root CA на все мои клиенты.
Я мог бы распространить этот сертификат с помощью групповой политики, если бы все мои клиенты были присоединены к домену Active Directory.
Сертификат должен точно отражать имя хоста сеанса RD, к которому подключаются ваши клиенты, вашим клиентам требуется разрешение DNS для INamedMyDomainPoorly.local, и он должен включать CDP (точки распространения CRL), доступные для ваших клиентов. .