Como renovar o certificado para o RDP no SBS 2011

A maneira correta de renovar ou adicionar certificados (autoassinados ou assinados por uma autoridade de certificação pública) no Windows Small Business Server é usar o assistente "Corrigir minha rede" do Windows SBS Console. O assistente faz duas coisas:

• Se você estiver usando um certificado auto-assinado expirado, ele será renovado
• Ele corretamente (re) instala o certificado existente nos vários serviços no servidor que o usam, como o Exchange, o Acesso via Web Remoto, o Agente de Sessão da Área de Trabalho Remota etc. Você nunca deve instalar os certificados em esses serviços manualmente em um servidor SBS.

Execute o assistente Corrigir minha rede para corrigir o certificado da seguinte forma:

1. Iniciar o console do Windows SBS
2. Clique no ícone Rede na parte superior e, em seguida, clique na guia Conectividade
3. No painel direito, clique em Corrigir minha rede
4. Se vários problemas forem detectados, você precisa corrigir o nome certificado auto-emitido expirado

Agora, no seu caso, uma vez que você já renovou o certificado manualmente, o assistente pode não encontrar um certificado expirado para corrigir. Em caso afirmativo, reinstale o certificado já renovado por meio do console do SBS da seguinte maneira:

1. Iniciar o console do Windows SBS
2. Clique no ícone Rede na parte superior e, em seguida, clique na guia Conectividade
3. No painel direito, clique em Adicionar um certificado confiável
4. Quando o assistente é iniciado, clique em Próximo
5. Na tela Obter o certificado , selecione Eu quero usar um certificado que já esteja instalado no servidor e clique em Próximo
6. Selecione o certificado correto na lista e clique em Próximo
7. O assistente instalará o certificado. clique em Concluir quando terminar.

Como espero que isso resolva seu problema

Com base no seu comentário, todas as máquinas que usam o RDP no servidor são ingressadas no domínio. Portanto, todos eles devem confiar no certificado instalado pelo console do SBS. Somente estações de trabalho que não sejam de domínio precisam executar uma ação adicional para confiar em um certificado autoassinado em uso pelo servidor SBS, ou seja, usar o pacote de instalação de certificado fornecido para configurar a máquina que não é o domínio para adicionar o certificado ao seu armazenamento de Certificados Raiz Confiáveis.

Para obter um certificado corretamente confiável, você precisa fazer uma das duas coisas.

1. Obtenha um certificado público de um provedor pago ou do projeto LetsEncrypt
2. Crie uma autoridade de certificação para uso interno

O Let's Encrypt é um ótimo projeto, mas exige que o HTTP da internet seja aberto ao seu servidor para confirmar a propriedade do domínio.

A criação de uma CA interna pode ser feita por meio da adição da função "Serviços de Certificados do Active Directory" a um servidor. Geralmente, não é recomendado instalar uma autoridade de certificação em um controlador de domínio, mas em um SBS que é tudo em torno de tudo.

link

A terceira maneira de corrigir isso como uma única correção de servidor é gerar um certificado autoassinado com o nome apropriado para corresponder. Em seguida, você precisaria obter uma cópia do certificado e colocá-la nas autoridades de certificação raiz confiáveis para cada computador que estiver fazendo uma conexão. Isso pode ser feito por meio do GPO, se necessário.