Como posso forçar o Windows Server 2008 R2 a usar um certificado intermediário específico sobre TLS para RDP?

1

Estamos passando pelo processo de alternar os certificados assinados com SHA-1 para SHA-256, principalmente devido a O gradual abandono do SHA-1 pelo Google . Muitos desses servidores são servidores IIS baseados no Windows, portanto, também os configuramos para usar os novos certificados para conexões TLS para RDP.

Este processo também inclui a troca dos certificados intermediários, uma vez que os servidores estão atualmente usando-os (SHA-1) e eles precisarão usar os novos (SHA-256).

O problema é que não consigo descobrir como fazer com que os servidores parem de usar o intermediário SHA-1. Com o RDP sobre TLS, eles continuam a enviá-lo em vez do novo certificado intermediário SHA-256, que elimina o cliente Mac RDP oficial:

Amensagemdeerro(certificadoraiznãoconfiável)estácomprovadamenteincorreta.

O ponto-chave, porém, é que isso só acontece quando o intermediário SHA-1 é enviado. Usando o OpenSSL, posso ver que o intermediário SHA-1 está sendo enviado.

Quando envia o intermediário SHA-256, a mensagem de erro não acontece. Como posso configurar meus servidores Windows para enviá-lo e nunca enviar o SHA-1? Ou eu estou entendendo mal alguma coisa e fora do alvo?

Coisas que eu tentei:

  • Usando o botão "Editar propriedades" no intermediário SHA-1 certificado para desativá-lo para todos os usos.
  • Removendo o SHA-1 certificado intermediário de todos os armazenamentos de certificados.
  • Reiniciando o serviço de Área de Trabalho Remota depois disso.
  • Reiniciando depois dessas coisas.

Notas:

  • Os clientes Windows não são afetados. Eles se conectam muito bem e indicam que a conexão é segura.
  • Estamos usando certificados da StartCom. Todos os servidores afetados foram previamente configurados com certificados SHA-1 e o intermediário StartCom SHA-1, mas agora têm os SHA-256 instalados.
  • Os novos servidores Windows configurados com apenas os SHA-256 instalados funcionam bem.
por Moduspwnens 07.05.2015 / 20:21

1 resposta

0

Comentário convertido em resposta:

Could you try manually blacklisting that SHA-1 cert on the IIS by moving it to the machine's "untrusted" cert store?

Como uma reflexão tardia: eu estava curioso para saber se isso funcionaria. E agora acontece que isso acontece. (Mas parece um pouco rápido e sujo. Oh bem.)

    
por 08.05.2015 / 17:38