Usando o certificado da CA para a Conexão da Área de Trabalho Remota

Navegue suas respostas
19

Estou conectando pela Web a um Windows Server 2012 R2 remoto por meio da Conexão de área de trabalho remota para as necessidades de administração. É um servidor web e de banco de dados único sem um AD etc.

Não estou falando sobre Serviços de Área de Trabalho Remota / Terminal Server, apenas o recurso de Área de Trabalho Remota simples ativado por meio do Painel de Controle > Sistema > Configurações remotas. O servidor criará automaticamente um certificado auto-assinado para criptografar a conexão, e o cliente da Conexão de Área de Trabalho Remota exibirá um erro de certificado devido à autoridade de certificação não confiável.

Eu tenho um certificado assinado pela CA emitido para o FQDN desse servidor e válido para autenticação do servidor (estou usando para o acesso remoto do MSSQL Server).

Eu gostaria de usar esse também para conexões RDP. Todos os tutoriais (como esta pergunta ) que eu encontrei Descrever de longe o processo dos Serviços de Área de Trabalho Remota ou do Serviço de Terminal. Eu encontrei esta pergunta informando um comando wmic para definir um certificado, mas não quero tentar definir alguns valores quando não sei exatamente o que estou fazendo. O que eu fiz foi adicioná-lo aos Certificados de Área de Trabalho Remota do Computador Local, onde o auto-assinado gerado automaticamente também está localizado.

Isso é possível? Se sim, o que tenho que fazer?

Obrigado!

    
por marce 10.01.2014 / 23:44

2 respostas

24

A pergunta que você encontrou mencionando o uso de wmic para definir o valor da impressão digital do certificado deve funcionar sem qualquer instalação adicional de recursos. Eu perguntei e respondi a um semelhante similar. pergunta aqui com um pouco mais de detalhes. Ele também tem um equivalente do PowerShell para o comando wmic. Mas vou adicionar mais algumas explicações aqui também.

Como você já está usando este certificado para MSSQL SSL, presumo que já esteja instalado em um dos armazenamentos de certificados no sistema. Se você o instalou no contexto de uma conta de serviço em que o MSSQL está sendo executado, talvez também seja necessário instalá-lo no armazenamento de Área de Trabalho Pessoal ou Remota para o "Computador Local" também.

Quando estiver lá, você só precisará atualizar o valor SSLCertificateSHA1Hash em Win32_TSGeneralSetting para apontar para ele usando um dos comandos em pergunta anterior .

Se você quiser verificar qual o valor atualmente definido e compará-lo ao certificado auto-assinado, poderá alterar o comando wmic para o seguinte. Você também pode usar isso para validar que o novo valor de impressão digital que você tentou definir está correto. 

wmic /namespace:\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

A saída deve ser algo como isto:

    
por 11.01.2014 / 06:36
2

Os guias referentes aos Serviços de Área de Trabalho Remota / Serviços de Terminal também são aplicáveis a um servidor que está executando apenas o serviço RDP padrão - é apenas uma instância mais limitada do mesmo serviço.

O que você pode perder nesses guias são as ferramentas para administrar o serviço - você desejará instalar as ferramentas de administração de funções dos Serviços de Área de Trabalho Remota para gerenciar o serviço. 

Install-WindowsFeature -Name RSAT-RDS-Tools
    
por 11.01.2014 / 00:32

Tags

Existe uma boa maneira de fazer backup de um petabyte de dados e armazená-lo? verificar histórico de cpu / uso de memória no Ubuntu?