ЦС домена пользователя для создания сертификата UCC

Сертификат UCC - это скорее маркетинговый термин, чем технически другой тип сертификата. Сертификат UCC - это на самом деле обычный сертификат X509 с кучей SAN (альтернативных имен субъектов) на нем. Таким образом, вы можете легко имитировать функциональность такого сертификата с помощью собственного внутреннего центра сертификации. Если у вас есть CA, вы можете заставить его выдавать сертификаты буквально с любой комбинацией CN и SAN, о которой вы только можете мечтать.

«Сертификаты UCC» и «сертификаты SAN» по сути одно и то же.

На вашем месте я бы дублировал Server Auth. шаблон сертификата из вашего центра сертификации и предоставить разрешения на регистрацию вручную для вашей группы серверов RDS. Я бы обязательно изменил шаблон, чтобы потребовать дополнительную информацию, чтобы у вас была возможность ввести дополнительные SAN (возможно, в виде имен DNS) во время регистрации. Я бы также сделал закрытый ключ экспортируемым, чтобы вы могли затем поделиться этим сертификатом между всеми своими серверами RDS или загрузить его на свой аппаратный балансировщик нагрузки, в зависимости от обстоятельств.

Это экран, который будет видеть ваш клиент (аналогичный - просто пример), когда он пытается зарегистрировать сертификат от вашего корпоративного ЦС. Вы можете попасть сюда, перейдя в mmc -> Add snapin -> Certificates, затем щелкните правой кнопкой мыши и выберите enroll.

То, что видит клиент на этом экране, зависит от того, какие шаблоны сертификатов настроил ваш Enterprise CA (и какие у него разрешения).

Если ваш центр сертификации и клиенты не присоединены к одному домену, вам нужно будет пройти через веб-регистрацию в службах сертификации. Он предоставляет устаревший веб-интерфейс для запроса сертификатов.

Вместо EKU для аутентификации сервера вам может потребоваться EKU для аутентификации сервера удаленного рабочего стола. Подробности здесь: http://www.derekseaman.com/2013/01/creating-custom-remote-desktop-services.html