Назад | Перейти на главную страницу

SSL-сертификат сеанса удаленного рабочего стола Windows Server 2012

Мой сервер Windows 2012 в настоящее время, похоже, ушел в отпуск и игнорирует сертификат SSL, который я попросил использовать для подключений к удаленному рабочему столу через

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="cb727b4dca34651444afbd939555e6c65f8434c4"

где cb727b4dca34651444afbd939555e6c65f8434c4 - это отпечаток существующего действительного сертификата SSL, который был создан с помощью групповой политики из локального центра сертификации.

Сервер продолжает выдавать самозаверяющий сертификат каждый раз, когда я удаляю предыдущий самозаверяющий сертификат из хранилища сертификатов «Локальный компьютер -> Удаленный рабочий стол». В информации о RDP-соединении по-прежнему говорится: «Идентификация удаленного рабочего стола проверяется Kerberos» вместо «проверено сертификатом».

Так что да, он игнорирует групповую политику, которую я настроил, а также напрямую через WMI. Выход

Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"

является

__GENUS                                : 2
__CLASS                                : Win32_TSGeneralSetting
__SUPERCLASS                           : Win32_TerminalSetting
__DYNASTY                              : CIM_ManagedSystemElement
__RELPATH                              : Win32_TSGeneralSetting.TerminalName="RDP-Tcp"
__PROPERTY_COUNT                       : 20
__DERIVATION                           : {Win32_TerminalSetting, CIM_Setting, CIM_ManagedSystemElement}
__SERVER                               : OVERWATCHD
__NAMESPACE                            : root\cimv2\terminalservices
__PATH                                 : \\OVERWATCHD\root\cimv2\terminalservices:Win32_TSGeneralSetting.TerminalName="RDP-Tcp"
Caption                                : 
CertificateName                        : OVERWATCHD.labs.xxx.co.nz
Certificates                           : {0, 0, 0, 0...}
Comment                                : 
Description                            : 
InstallDate                            : 
MinEncryptionLevel                     : 3
Name                                   : 
PolicySourceMinEncryptionLevel         : 1
PolicySourceSecurityLayer              : 1
PolicySourceUserAuthenticationRequired : 1
SecurityLayer                          : 2
SSLCertificateSHA1Hash                 : CB727B4DCA34651444AFBD939555E6C65F8434C4
SSLCertificateSHA1HashType             : 2
Status                                 : 
TerminalName                           : RDP-Tcp
TerminalProtocol                       : Microsoft RDP 8.0
Transport                              : tcp
UserAuthenticationRequired             : 0
WindowsAuthentication                  : 0
PSComputerName                         : OVERWATCHD

Работало месяц назад. Есть идеи, как я могу решить эту проблему? Журналы событий Windows, похоже, не дают много информации. Если бы только был флаг отладки / подробности, который я мог бы установить.

Вам не нужно удалять самозаверяющий сертификат, чтобы Windows могла использовать сертификат, созданный ЦС. Возможно, Windows потребуется этот самозаверяющий сертификат и для других вещей, не связанных с RDP.

Какую групповую политику вы используете для создания сертификата? Это политика автоматической регистрации? Вы проверили, что сертификат, отпечаток которого вы указываете, действительно существует в целевой системе в хранилище локального компьютера?

Если бы он работал месяц назад, а не сейчас, можно ли было бы продлить сертификат? Если это так, у него будет новое значение отпечатка пальца.

Если есть правильный сертификат, вы также должны проверить, что у него есть действующий закрытый ключ. Над обычным значком сертификата в оснастке «Сертификаты» будет маленький значок ключа. Также будет сказано, что в окне сведений о сертификате, похожем на этот снимок экрана: