การใช้ใบรับรอง CA สำหรับการเชื่อมต่อเดสก์ท็อประยะไกล


22

ฉันเชื่อมต่อผ่านเว็บกับ Windows Server 2012 R2 ระยะไกลผ่านการเชื่อมต่อเดสก์ท็อประยะไกลสำหรับความต้องการด้านการดูแลระบบ เป็นเว็บเดียวและเซิร์ฟเวอร์ฐานข้อมูลที่ไม่มีโฆษณา ฯลฯ

ฉันไม่ได้พูดถึงบริการเดสก์ท็อประยะไกล / เซิร์ฟเวอร์เทอร์มินัลเพียงคุณสมบัติเดสก์ท็อประยะไกลที่ใช้งานง่ายผ่านแผงควบคุม> ระบบ> การตั้งค่าระยะไกล เซิร์ฟเวอร์จะสร้างใบรับรองที่ลงนามเองโดยอัตโนมัติเพื่อเข้ารหัสการเชื่อมต่อและไคลเอนต์การเชื่อมต่อเดสก์ท็อประยะไกลจะแสดงข้อผิดพลาดของใบรับรองเนื่องจาก CA ที่ไม่น่าเชื่อถือ

ฉันมีใบรับรองที่ลงนามโดย CA ที่ออกให้กับ FQDN ของเซิร์ฟเวอร์นี้และใช้ได้สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์ (ฉันใช้เพื่อการเข้าถึงระยะไกลของเซิร์ฟเวอร์ MSSQL)

ฉันต้องการใช้อันนั้นสำหรับการเชื่อมต่อ RDP ด้วย บทช่วยสอนทั้งหมด (เช่นคำถามนี้) ฉันได้พบแล้วจนถึงขั้นตอนการอธิบายเกี่ยวกับบริการเดสก์ท็อประยะไกลหรือบริการเทอร์มินัล ฉันพบคำถามนี้ซึ่งระบุwmicคำสั่งให้ตั้งค่าใบรับรอง แต่ฉันไม่ต้องการลองตั้งค่าบางอย่างเมื่อฉันไม่รู้ว่าฉันกำลังทำอะไรอยู่ สิ่งที่ฉันได้ทำคือการเพิ่มลงในใบรับรองเดสก์ท็อประยะไกลของเครื่องคอมพิวเตอร์ที่มีการลงชื่ออัตโนมัติด้วยตนเองที่สร้างขึ้นด้วยเช่นกัน

เป็นไปได้ไหม ถ้าใช่ฉันต้องทำอย่างไร

ขอบคุณ!

คำตอบ:


26

คำถามที่คุณพบว่ากล่าวถึงการใช้wmicการตั้งค่ารหัสประจำตัวใบรับรองควรทำงานโดยไม่ต้องติดตั้งคุณสมบัติเพิ่มเติมใด ๆ ฉันถามและตอบคำถามที่คล้ายกันที่นี่พร้อมรายละเอียดเพิ่มเติมเล็กน้อย นอกจากนี้ยังมี PowerShell ที่เทียบเท่ากับคำสั่ง wmic แต่ฉันจะเพิ่มคำอธิบายเพิ่มเติมที่นี่เช่นกัน

เนื่องจากคุณใช้ใบรับรองนี้สำหรับ MSSQL SSL อยู่แล้วฉันจึงถือว่าติดตั้งไว้ในที่เก็บใบรับรองแห่งหนึ่งในระบบ หากคุณติดตั้งในบริบทของบัญชีบริการที่ MSSQL กำลังทำงานอยู่คุณอาจต้องติดตั้งลงในที่เก็บส่วนบุคคลหรือเดสก์ท็อประยะไกลสำหรับ "คอมพิวเตอร์ในพื้นที่" เช่นกัน
ป้อนคำอธิบายรูปภาพที่นี่

เมื่อมันอยู่ในนั้นคุณเพียงแค่ต้องปรับปรุงSSLCertificateSHA1Hashค่าในการWin32_TSGeneralSettingไปยังจุดต่อโดยใช้หนึ่งในคำสั่งของฉันในคำถามก่อนหน้านี้

หากคุณต้องการตรวจสอบค่าที่ตั้งไว้ในปัจจุบันและเปรียบเทียบกับใบรับรองที่ลงนามด้วยตนเองคุณสามารถเปลี่ยนwmicคำสั่งเป็นดังต่อไปนี้ คุณยังสามารถใช้สิ่งนี้เพื่อตรวจสอบว่าค่ารหัสประจำตัวใหม่ที่คุณพยายามตั้งค่านั้นถูกต้อง

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

ผลลัพธ์ควรมีลักษณะดังนี้:
ป้อนคำอธิบายรูปภาพที่นี่


2
ขอบคุณ! ที่ทำงานเหมือนฉันมีเสน่ห์ไม่รู้ว่าทำไมฉันไม่พบ q / a ต้นฉบับของคุณตั้งแต่แรก ไม่มีตัวแทนมากพอที่จะอัปโหลด แต่ฉันจะเก็บไว้ใน Backlog จนกว่าจะได้ผล
marce

อย่างน้อยใน Windows 7 ไม่จำเป็นต้องย้ายใบรับรองไปที่ร้าน "เดสก์ท็อประยะไกล" ที่เก็บใบรับรอง "ส่วนบุคคล" ใช้ได้ดี
André Borie

แอปพลิเคชันใดที่เป็นภาพหน้าจอจากโดยมีไอคอนกล่องเครื่องมือสีแดงที่ด้านซ้ายบน
Kyle Humfeld

มันเป็นเพียงมาตรฐาน mmc.exe ของ Windows (Microsoft Management Console) ซึ่งเป็นแอปพลิเคชันโฮสต์ทั่วไปสำหรับแอปพลิเคชันขนาดเล็กจำนวนมากที่เขียนด้วยโครงสร้าง UI เดียวกันที่เรียกว่าสแน็ปอิน สแนปอินที่โหลดในภาพหน้าจอคือสแน็ปอินใบรับรอง
Ryan Bolger

2

คำแนะนำที่อ้างถึงบริการเดสก์ท็อประยะไกล / บริการเทอร์มินัลยังสามารถใช้ได้กับเซิร์ฟเวอร์ที่เพิ่งเปิดใช้บริการ RDP เริ่มต้นซึ่งเป็นเพียงอินสแตนซ์ที่ จำกัด มากขึ้นของบริการเดียวกัน

สิ่งที่คุณอาจขาดหายไปจากคู่มือเหล่านี้คือเครื่องมือในการจัดการบริการ - คุณต้องการติดตั้งเครื่องมือการดูแลบทบาทสำหรับ Remote Desktop Services เพื่อให้สามารถจัดการบริการได้

Install-WindowsFeature -Name RSAT-RDS-Tools

1
เนื่องจากนี่คือ 2012R2 เขาสามารถใช้ Powershell Commandlets เพื่อจัดการ certs ของเขาได้ Set-RDCertificate , Get-RDCertificate, Add-RDCertificate ฯลฯ เขาไม่ควรต้องใช้เครื่องมือผู้ดูแลระบบของบทบาทในการกำหนดค่าผ่านทาง PowerShell
Zoredache

@Zoredache ขอบคุณสำหรับคำแนะนำของคุณ ฉันพยายามง่าย ๆGet-RDCertificateในการเริ่มต้น แต่มีข้อผิดพลาดต่อไปนี้: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.ดังนั้นฉันจึงกลัวว่าฉันต้องติดตั้งอย่างน้อยก็ใช่มั้ย ฉันควรดำเนินการตามคุณสมบัติ @ShaneMadden ต่อไปหรือไม่
marce

อืมฉันไม่ได้ลองจริงๆ ฉันเพิ่งลองเรียกใช้บนเซิร์ฟเวอร์ 2012R2 ฉันได้ตั้งค่าอย่างสมบูรณ์เป็นบริการเดสก์ท็อปสำหรับการทดสอบ ฉันได้รับข้อผิดพลาดเดียวกันดังนั้นตอนนี้ฉันก็สับสนเพราะมันควรจะทำงานได้อย่างแน่นอน
Zoredache

@Zoredache มันไม่ใช่ฉันอย่างน้อย ... เอาละฉันจะลองInstall-WindowsFeature -Name RSAT-RDS-Toolsอีกครั้งแล้วรายงานกลับ
marce

1
@ShaneMadden คุณกำลังชี้ไปในทิศทางที่ถูกต้อง แต่จริงๆแล้วจำเป็นต้องมีแพ็คเกจทั้งหมด บางทีคุณสามารถอัปเดตคำตอบของคุณเพื่อสะท้อนให้เห็นว่าสำหรับผู้ที่จะมา
marce
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.