Serviços de Área de Trabalho Remota vários Acesso via Web RD e Certs

Navegue suas respostas
1

Estamos planejando uma implantação de serviços de área de trabalho remota (Windows Server 2012 R2) com 2 servidores de acesso via Web RD. No passado, solicitei um único certificado usando uma CA externa (por meio de uma solicitação de certificado do IIS 7), instalei-o e depois o exportei para o formato * .pfx a ser usado. Isso foi simples.

Nossa implantação de produção terá dois servidores de Acesso via Web RD atrás de um Cisco ACE para failover e balanceamento de carga. Minha pergunta é: como faço para solicitar o certificado agora? Além de usar um curinga ou um certificado SAN (para incluir o nome "amigável" que estamos usando), não sei como iniciar esse processo.

Solicito um certificado de um dos servidores de Acesso via Web RD, exportar e usá-lo para ambos? Ou solicito um de cada um com a SAN / curinga como parte da solicitação? Ou estou completamente fora de pista aqui? Estou familiarizado apenas com solicitações básicas de certificados da Web HTTPS, portanto, isso tudo é um mistério para mim.

A ajuda do MS que recebi por meio de documentos e fórum parece presumir que estamos usando um AD CA interno ou um Gateway, nenhum dos quais estamos usando (estamos exigindo VPN para acesso off-site por enquanto).

    
por Bryan Powell 03.02.2014 / 14:23

1 resposta

1

Você realmente precisa que seus dois servidores de Acesso via Web RD usem nomes de domínio diferentes? Como esse é um cenário de balanceamento de carga / failover, normalmente você instalaria o mesmo certificado nos dois servidores. A utilização de um certificado curinga / SAN é necessária apenas se você pretende acessar um ou ambos os servidores usando nomes diferentes.

Basta criar a solicitação de certificado como faria normalmente e instalar o certificado nos dois servidores - apenas certifique-se de que o certificado esteja licenciado para uso em dois servidores ao adquiri-lo.

Se, por qualquer motivo, você realmente precisar de nomes de domínio diferentes, criará uma única solicitação de certificado usando seu método preferido. (por exemplo, openssl, certreq, iss, etc). Se você decidir executar com um certificado curinga, basta especificar seu domínio como * .seu.domínio e comprá-lo na CA externa usando seu plano de compra de curingas. Ou, se você decidir executar com uma SAN, precisará especificar a SAN na solicitação de certificado.

link

Outra opção seria instalar um único certificado no Cisco ACE para executar a terminação SSL no dispositivo em vez dos servidores da Web do RD. Na verdade, esse é geralmente o método preferido ao executar o balanceamento de carga, pois mantém as coisas simples e permite que o ACE execute o balanceamento da camada de aplicativo.

link

    
por 03.02.2014 / 14:35

Tags

F5 WebSockets Big-IP e WSS Várias instâncias do Amazon EC2 para um único aplicativo [closed]