Наши серверы проходят периодическое сканирование на соответствие требованиям PCI, и у нас есть сервер Windows 2008 с открытым портом 3389 для RDP. Он защищен SSL, но не проходит сканирование, потому что их тест говорит:
SOLUTION:
Please install a server certificate signed by a trusted third-party Certificate Authority.
RESULT:
Certificate #0 unable to get local issuer certificate
Насколько я могу судить, причина его отказа заключается в том, что в инструменте настройки служб терминалов он использует локально созданный сертификат вместо сертификата, который мы получили от GeoTrust. Итак, я открываю мастер, и он говорит, что сертификат «создан автоматически». Я нажимаю кнопку ВЫБРАТЬ, меняю на тот, который мы получили от GeoTrust, и нажимаю ОК, чтобы сохранить все (Скриншот). Однако затем я отключаю свой сеанс RDP и снова подключаюсь и возвращаюсь к «Автоматически создан». Я даже попытался удалить сертификат из оснастки «Сертификат локального компьютера» MMC, и он просто продолжает воссоздавать себя каждый раз, когда мы повторно подключаемся через RDP. Я могу «пройти» сканирование, выполнив эти действия и повторно запустив сканирование, прежде чем снова войти в систему с помощью RDP, но это вряд ли постоянное решение, поскольку эти сканирования выполняются каждый месяц.
Может ли кто-нибудь помочь мне выяснить, как получить надежный сертификат CA SSL, чтобы он оставался постоянно?
Заранее спасибо.
Я знаю, что это старый поток, но мне удалось заставить диспетчер конфигурации хоста RDP сохранять сертификат SSL, сделав его «экспортируемым», когда я импортировал его в IIS.
Просто к вашему сведению.
Что ж, к сожалению, никто не смог помочь, и пришло время, когда мне пришлось с этим разобраться, поэтому я немного поиграл с этим и в конечном итоге нашел что-то, что, кажется, работает, поэтому я отправлю его здесь, если это кому-то поможет еще.
Мое удаленное соединение подключалось напрямую к IP-адресу моего сервера, а не к имени в доверенном сертификате SSL. Итак, когда я изменил настройки удаленного подключения для подключения к доверенному имени вместо IP-адреса, все заработало нормально. Я предполагаю, что когда вы подключаетесь напрямую к IP-адресу, диспетчер RDP-TCP ищет сертификат, который совпадает, и если он не находит его, то по умолчанию возвращается к автоматически сгенерированному (и если это не так существует, затем он воссоздает его). Итак, теперь, когда я установил для него доверенный сертификат третьей стороны, а затем подключился, используя полное доменное имя этого сертификата, он остается на месте.
Итак, теперь сканирование проходит без каких-либо флагов, и я готов к работе.
Это был плохой сертификат. Вы можете попробовать импортировать его снова. Также проверьте промежуточные и доверенные корневые центры сертификации, чтобы увидеть, завершена ли цепочка сертификатов. RDP удалит любой сертификат, который недостаточно хорош.
