Pontos de distribuição de certificados RDP

1

Estou recebendo a mensagem "Seu computador não pode se conectar ao computador remoto porque o certificado do servidor do Gateway de Área de Trabalho Remota expirou ou foi revogado" ao tentar acessar um servidor de gateway TS publicado pelo Forefront. O certificado em uso é da minha CA corporativa interna.

Tanto quanto eu posso dizer que os tipos se alinham e toda a cadeia pode ser validada corretamente. Nada de interessante aparece nos logs do sistema para meu TS, Gateway TS, Forefront ou cliente. A única coisa em que consigo pensar é que é algum tipo de problema de validação. Não tenho certeza de onde ou como diagnosticar mais.

EDIT - Confirmei que o caminho do certificado no meu servidor é bom com o seguinte.

certutil -verify -urlfetch mycert.cer
....
Verified Issuance Policies: None
Verified Application Policies:
   1.3.6.1.5.5.7.3.1 Server Authentication
Leaf certificate revocation check passed
CertUtil: -verify command completed successfully.

O mesmo certificado em uso no IIS também está em uso na tela do TS Gateway.

EDIT - o cliente está executando o Windows 7, mstsc versão 6.1.7601.17514.

EDIT - interessante ... parece que o RDP precisa ter o OCSP ativado para fazer pesquisas de CRL. link

    
por Tim Brigham 22.12.2011 / 19:50

1 resposta

1

Ou:

  1. O cliente não tem o certificado da CA Root instalado em seu computador, na pasta Trust Root Certs.
  2. O URL da CRL no certificado não pode ser resolvido pelo cliente nem retorna uma CRL desatualizada.

Por padrão, as MS CAs estão configuradas para publicar CRLs apenas no AD, que não é acessível do mundo externo. O MSTSC 6.0+ retornará esse erro se não puder obter a CRL e uma URL for especificada.

    
por 22.12.2011 / 19:52