Soru Uzak Masaüstü Bağlantısı için CA sertifikası kullanma


Yönetim ihtiyaçları için web üzerinden Uzak Masaüstü Bağlantısı üzerinden uzak bir Windows Server 2012 R2'ye bağlanıyorum. AD vb olmadan tek bir web ve veritabanı sunucusudur.

Uzak Masaüstü Hizmetleri / Terminal Sunucusu'ndan bahsetmiyorum, sadece Kontrol Paneli> Sistem> Uzaktan Ayarlar aracılığıyla etkinleştirilen basit Uzak Masaüstü özelliği. Sunucu otomatik olarak bağlantıyı şifrelemek için kendinden imzalı bir sertifika oluşturacak ve Uzak Masaüstü Bağlantısı istemcisi güvenilmeyen CA nedeniyle bir sertifika hatası gösterecektir.

Bu sunucunun FQDN'sine verilen ve sunucu kimlik doğrulaması için geçerli bir CA imzalanmış sertifikam var (MSSQL Server uzaktan erişim için kullanıyorum).

Bunu RDP bağlantıları için de kullanmak istiyorum. Tüm dersler (bunun gibi soru) Uzak Masaüstü Hizmetleri veya Terminal Hizmeti için şu ana kadar süreci açıkladım. Buldum bu soru belirten wmic Bir sertifika belirleme komutu, ancak tam olarak ne yaptığımı bilmediğimde bazı değerler ayarlamayı denemek istemiyorum. Yaptığım şey, otomatik olarak oluşturulmuş otomatik olarak imzalanan Yerel Bilgisayarın Uzak Masaüstü Sertifikalarına eklenmesi.

Mümkün mü? Eğer evet ise, ne yapmalıyım?

Teşekkürler!


19
2018-01-10 22:44


Menşei




Cevaplar:


Bunu kullanarak bahsettiğiniz soru wmic Sertifika parmak izi değerini ayarlamak için herhangi bir ek özellik yüklemesi olmadan çalışması gerekir. Benzer bir soru sordum ve cevapladım burada soru biraz daha detay ile. Ayrıca, wmic komutu için bir PowerShell eşdeğerine sahiptir. Ama ben de burada daha fazla açıklama ekleyeceğim.

Bu sertifikayı MSSQL SSL için kullandığınız için, zaten sistemdeki sertifika depolarından birine yüklenmiş olduğunu varsayalım. MSSQL'in çalıştığı bir hizmet hesabı bağlamında yüklediyseniz, "Yerel Bilgisayar" için de Kişisel veya Uzak Masaüstü deposuna yüklemeniz gerekebilir.
enter image description here

İçeri girdikten sonra, güncellemeniz yeterlidir. SSLCertificateSHA1Hash değeri Win32_TSGeneralSetting benim komutlarımdan birini kullanarak önceki soru.

Değerin neyi ayarlandığını kontrol etmek ve otomatik imzalı sertifikayla karşılaştırmak isterseniz, wmic aşağıdaki komutu verin. Bunu, ayarlamaya çalıştığınız yeni parmak izi değerinin doğru olduğunu onaylamak için de kullanabilirsiniz.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Çıkış böyle bir şeye benzemelidir:
enter image description here


24
2018-01-11 05:36



Teşekkürler! cazibeli gibi çalıştı, neden orijinal q / a'nızı neden bulamadım bilmiyorum. Önem vermek için yeterli temsilciniz yok, ancak çalışana kadar bekletmeme devam edeceğim. - marce
En azından Windows 7'de, sertifikayı "Uzak masaüstü" mağazasına taşımanıza gerek yoktur. "Kişisel" sertifika deposu gayet iyi çalışıyor. - André Borie
Sol üstteki kırmızı araç kutusu simgesiyle ekran görüntüsü nedir? - Kyle Humfeld
Bu sadece, ek bileşen olarak adlandırılan aynı UI yapıları ile yazılmış bir grup mini uygulama için genel bir ana bilgisayar uygulaması olan standart Windows mmc.exe (Microsoft Yönetim Konsolu) 'dir. Ekran görüntüsünde yüklü olan ek bileşen Sertifikalar ek bileşenidir. - Ryan Bolger


Uzak Masaüstü Hizmetleri / Terminal Hizmetleri'ne başvuran kılavuzlar, yalnızca varsayılan RDP hizmetini çalıştıran bir sunucu için de geçerlidir - aynı hizmetin yalnızca daha sınırlı bir örneğidir.

Bu kılavuzlardan eksik kalacağınız, hizmeti yönetme araçlarıdır. Hizmeti yönetmek için Uzak Masaüstü Hizmetleri için rol yönetim araçlarını yüklemek istersiniz.

Install-WindowsFeature -Name RSAT-RDS-Tools

2
2018-01-10 23:32



Bu, 2012R2 olduğu için, aynı zamanda sadece kendi sertifikalarını yönetmek için Powershell Komutanlarını kullanabilirdi. Set-RDCertificate, Get-RDCertificate, Add-RDCertificate, vb. Powershell aracılığıyla yapılandırmak için rol yöneticisi araçlarına gerek duymamalıdır. - Zoredache
@Zoredache İyi nokta, teşekkürler! - Shane Madden♦
@Zoredache İpucunuz için teşekkürler. Basit bir şekilde denedim Get-RDCertificate Başlamak için ama aşağıdaki hatayı aldım: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment. Bu yüzden korkarım en azından bir şey yüklemem gerekiyor, değil mi? Özellikler @ShaneMadden ile devam etmeli miyim? - marce
Hrm, aslında denemedim. Ben sadece test işlemleri için bir Masaüstü Hizmetleri olarak tamamen kurmuş olduğum 2012R2 sunucusunda çalıştırmayı denedim. Aynı hatayı aldım, şimdi kafam karıştı, çünkü bu kesinlikle işe yaramış olmalı. - Zoredache
@ShaneMadden Doğru yönde işaret ediyorsunuz, ancak aslında tüm paket gereklidir. Belki de cevabınızı gelip gelecek olanlar için yansıtabilirsiniz. - marce