Quando usar o certificado autoassinado com o RDWeb?

Question

Quando usar o certificado autoassinado com o RDWeb?

#1 resposta do (3 votos)
#2 resposta do (0 votos)

1

Quero garantir que a conexão dos usuários seja a mais segura possível. Nosso servidor RDWeb tem um nome .local (para essa pergunta, ele será chamado rdweb.contoso.local) e um nome público: rdweb.contoso.com

Temos um ssl premium do godaddy para o site da RDWeb (rdweb.contoso.com). Quando um usuário clica para executar o remoteapp A ele se conecta ao servidor rdweb. A caixa de conexão para o servidor rdweb diz: "... conectando-se ao rdweb.contoso.local", em seguida, solicita que o usuário faça o login no rdweb.contosto.local. Após o login bem-sucedido, uma janela perguntará ao usuário se ele deseja continuar com a conexão do rdweb.contoso.local, porque ele não pode ser verificado. Se você clicar em ver certificado, verá que, para essa conexão, o certificado autoassinado que eu construí no IIS está sendo usado. Isso é seguro? O aplicativo remoto usado na RDWeb é um aplicativo de RH / folha de pagamento que possui informações confidenciais sobre funcionários.

Portanto, o certificado autoassinado é adequado para a conexão do site da RDWeb ao servidor rdweb? Temos um ssl premium para o próprio site da rdweb (rdweb.contoso.com)

Se esse certificado auto-assinado não for seguro para essa situação, como posso torná-lo seguro? Adquira um SSL para o .local do godaddy?

estamos usando esse processo há um tempo e, por acaso, penso na segurança da conexão. Eu entendo que ele é criptografado e confio no certificado, pois sei que ele veio do servidor. Apenas querendo alguns pensamentos sobre isso.

Obrigado a todos.

SO: servidor 2008 r2 Ambiente de diretório ativo do Windows 7 e 2008 r2 Os usuários da RDWeb fazem login na RDWeb de um local externo para nossa rede local

security certificate windows-server-2008-r2 remote-desktop-services

por Art.Vandelay05 14.03.2013 / 16:38

2 respostas

0

Não é profissional usar um certificado autoassinado para um serviço de Internet. A ideia é que confiamos mais em um certificado da GoDaddy ou Digicert do que confiamos em seu certificado autoassinado. Ele pode ser validado pelos servidores de validação on-line da autoridade de certificação emissora. Seu auto-assinado não pode. Se o seu servidor for comprometido e alguém roubar sua chave privada, ele poderá forjar um certificado e executar um intermediário no meio para os usuários desavisados que receberam a instrução de confiar em seu certificado autoassinado. Sim, o tráfego ainda é criptografado ao usar um certificado autoassinado, mas é mais uma questão de confiança.

Além disso, você fez isso com dificuldade nomeando seu domínio * .local.

por 14.03.2013 / 17:06

Tags security certificate windows-server-2008-r2 remote-desktop-services

Como instalar o Sphinx no CentOS 6, onde o servidor DB e App são servidores separados OWA 2013 - Acesso direto ao arquivo html sem salvar no disco

score 3 · Accepted Answer

A solução aqui é fazer com que todos se conectem ao rdweb.contoso.com e nunca usem o endereço rdweb.contoso.local. Na maioria dos casos, isso exigirá que o split DNS ou o hairpinning / loopback NAT funcionem corretamente.

Usando o nome público, seu certificado SSL godaddy funcionará corretamente. Nenhum provedor respeitável lhe dará um certificado ssl assinado para qualquer endereço * .local, pois não há como provar a propriedade (na verdade, você não é o proprietário, mas contanto que seja apenas na sua LAN, não quebre mais nada. se alguém a usar em sua LAN).

Usar um certificado auto-assinado é ruim - especialmente porque ele treina os usuários a ignorar completamente o aviso sobre o certificado ser inválido. Isso torna muito mais fácil enganar alguém para que se conecte a um serviço diferente ou associe a conexão.

Supondo que você tenha seu DNS contoso.com no godaddy e seu DNS contoso.local no diretório ativo, você pode adicionar contoso.com aos seus servidores DNS do AD, com todos os registros que ele possui no godaddy. Mas quando você chegar ao rdweb, em vez do endereço IP público, coloque o endereço privado.

Ou faça seu firewall / dispositivo NAT permitir conexões da LAN para se conectar por meio do endereço público. Isso geralmente é chamado de hairpinning NAT, loopback ou alguns outros nomes semelhantes.