Uzak Masaüstü Hizmetlerinde sertifika yapılandırmasıyla ilgili sorunları nasıl çözebilirim?

32

Bir Uzak Masaüstü Hizmetleri grubu kuruyorum ve sertifikaları kullanması için yapılandırmada sorun yaşıyorum. Gördüğüm problemin bir gösterimini 4. Adımda bulabilirsiniz.

Bu noktada, kullanıcı arayüzünde sorun olduğuna ikna oldum ve çevrelerindeki yolları arıyorum. Sertifikaları Uzak Masaüstü Hizmetlerinde, ayarların GUI'ye yansıtılması ve yansıtılması için yapılandırmanın bir yolu var mı? Değilse, ayarların doğru olduğunu doğrulamamın bir yolu var mı?

Adım # 1 - Kullanılacak sertifika oluşturun.

RD Web Erişimi ile kullanılacak bir sertifika yapılandırdım. Sertifika, RD Bağlantı Aracımdaki Sertifikalar MMC'de saklanır ve bu bilgisayardan çiftliği yapılandırıyorum. sertifika

RD Web Erişimi'nin, aşağıdaki özelliklerin gerekli olduğunu kendi sertifikasını oluşturmasına izin vererek buldum:

  • Gelişmiş Anahtar Kullanımı
    • Sunucu Kimlik Doğrulama
    • Müşteri Kimlik Doğrulama
      • Bu gerekli olmayabilir, ancak kendinden imzalı sertifika da içerir.
  • Anahtar Kullanımı
    • Elektronik imza
    • Anahtar Anlaşma
  • Konu Alternatif Adı
    • DNS Adı = domain.com

Kendinden imzalı sertifika üretimi hakkında sapma

Hızlı bir yol olarak, powershell kullanarak kendinden imzalı sertifikalar oluşturma konusunda bir sorunla karşılaştım. Yeni RDCertificate cmdlet'inin belgeleri aşağıdaki örneği verir:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Bunu kabuğun içine yazmak, bir işlevin Get-Serverbulunamadığını iddia eden bir hata iletisine neden olur. Kullanmadan önce New-RDCertificate, RemoteDesktop Modülünü ile birlikte almanız gerekir Import-Module RemoteDesktop.

Adım # 2 - Kutudan çıkma davranışını gözlemleyin

Sunucu Özellikleri -> Uzak Masaüstü Hizmetleri -> Koleksiyonlar'e gidip "KOLEKSİYONLAR" grubundaki "GÖREVLER" açılır listesinden "Dağıtım Özelliklerini Düzenle" yi seçerek Dağıtım Özellikleri iletişim kutusunu ilk ziyaret ettiğinizde, aşağıdaki ekranı göreceksiniz : görüntü tanımını buraya girin

levelAlan "Yapılandırılmadı" olarak listelendiği için bu pencere yanıltıcıdır . Doğru anlıyorsam, rol hizmetlerinin üçü de kendinden imzalı bir sertifika kullanıyor. RD Web Erişimi rolü için bu web sitesini ziyaret ederek doğrulanabilir: Sertifika hatası

Kullanılan sertifika, Sertifikalar MMC’sinde de görünür: RD Web Erişimi sertifikasını gösteren sertifika MMC'si

Adım # 3 - Yeni sertifika atama

Dağıtım Özellikleri iletişim kutusu mevcut sertifikamı seçmeme izin verecek. Sertifika, "Kişisel" sertifika deposundaki yerel bilgisayarlar Sertifikalar MMC içine yerleştirilmelidir. Özel anahtarın dışa aktarılabilir olması gerekir ve şifreyi girmeniz gerekir. Sertifikamı geçici olarak temp.pfxşifreli bir dosyaya aktardım ve ardından Uzak Masaüstü Hizmetlerine oradan aldım.

Bu yapıldığında, GUI yeni konfigürasyonu kabul etmeye hazır olduğunu gösterecektir. sertifikayı kabul etmeye hazır

"Uygula" düğmesini tıkladığımda GUI başarılı olduğunu gösteriyor. görüntü tanımını buraya girin

Bu, RD Web Erişimi web sitesini ikinci kez ziyaret ederek doğrulanabilir. Sertifika hatası yok. görüntü tanımını buraya girin

Adım # 4 - GUI durumunu koruyamıyor

GUI kapatılıp tekrar açılırsa, bu ayarların tümü kaybolmuş gibi görünür. ayarlar kayboldu

Aslında, yapılandırdığım sertifika hala kullanılıyor. Herhangi bir sertifika hatası olmadan RD Web Erişimi sitesine erişmeye devam edebiliyorum.

İşin garibi, kendinden imzalı bir sertifika oluşturmak için "Yeni sertifika oluştur ..." düğmesini kullanırsam, bu pencere "Güvenilmeyen" seviyeye güncellenir. Bu ayar daha sonra Dağıtım Özellikleri iletişim kutusunun açılması ve kapatılması yoluyla korunacaktır.

Ayarlarımın görünmesini sağlamak için yapabileceğim bir şey var mı? GUI'nin sertifikaları tam olarak yapılandırmadığımı iddia etmesiyle bir şeylerin yanlış olduğunu hissediyorum.

ssl-certificate  remote-desktop  certificate  windows-server-2012  remote-desktop-services 
Michael Steele
kaynak
7
Bu çok iyi düşünülmüş bir soru. Kudos.
Ryan Ries
Lizz
Hiç şansın var mı Michael?
Lizz
@Lizz RD Web Erişimi rol hizmeti için kullandığımız sertifikayı bildiğim kadarıyla müşteriler tarafından kabul ediliyor. Kullanıcı arayüzü gerçekte belirlediğim sertifikayı kullanmasına rağmen "Yapılandırılmadı" raporuna devam ediyor.
Michael Steele
Bulanıklığın gibi. Geleneksel tür değil.
StackExchange Kullanıcısı

Yanıtlar:

2

Dün çiftliğimizi kontrol ettim ve Windows 2008 olduğunu farkettim ... Sizinki 2012. Büyük farklar olduğuna eminim, ancak bilgilerimin yardımcı olacağını umuyorum.

MMC'yi açma -> Sertifikalar -> Bilgisayar hesabı "kişisel / Sertifikalar" klasöründe 2 sertifika görüyorum:

  • Kendi Kendine İmtiyazlı Sertifika
  • Etki Alanı CAmız tarafından verilen sertifika

Kendi kendine atanan ayrıntılarda bir hata var, sertifikanız aynı hatayı mı verdi? Hata

Bu hatayı çözmek için, sertifikayı "kişisel / Sertifikalar" alt klasöründen "Güvenilir Kök Sertifika Yetkilileri / Sertifikaları" na kopyalayıp yapıştırın. Bu adımda aynı sertifika hata vermez. Tamam sertifika

Bundan sonra, bulduğum sertifikayı (RDS Windows 2008'de) yapılandırdığınız sadece iki yer var.

RemoteApp Yöneticimiz şunları gösterir: Ana

Dijital İmza ayarları: DSS

Ve 'RD Oturum Ana Bilgisayarı Yapılandırması'nda, bağlantının ayarlarında: RDSHC

Sonunda ve doğru hatırlıyorsam, tüm seçenekleri, etkinlik görüntüleyiciyi kontrol ederek, sertifika hatası olmadığından emin olmak, bazı yerel grupları doldurmak, Güvenlik Politikasına erişmelerini sağlamak ...

İyi şanslar.

---- Güncellenmiş ----

Kullanıcı profilinde, İhraççı CA’yı veya "Güvenilen Kök Sertifika Yetkilileri / Sertifikaları" ndaki sertifikayı (kendinden imzalıysa) almayı ve böylece müşterinin herhangi bir sertifika hatası alamayacağını unutmayın. Bu nokta sistemimizde önemliydi.

Carlos Garcia
kaynak
Bilgi için teşekkürler. Kendi CA'mız tarafından imzalanan sertifikaları kullanıyoruz. Karşılaştığım sorun Windows Server 2012'ye özgü. GUI, sertifikaların doğru yapılandırılmadığını veya hatta hiç yapılandırılmadığını iddia ediyor.
Michael Steele
2

Aynı sorunu yaşadım ve çözümü buldum. Sertifika şablonunu nasıl yarattınız ve sertifika isteyin.
İşte düzeltme:

  1. Bilgisayar şablonunu çoğaltarak sertifika şablonu oluşturma
  2. Yeni sertifikayı ve bu iki önemli mod 2a'yı düzenleyin. Özel anahtar 2b'yi dışa aktarmaya izin ver. Konu Adı sekmesinde "İsteğe bağlı tedarik" radyo düğmesini seçin
  3. Yeni şablonu yayınla
  4. Yeni bir istek oluşturun ve yeni şablonu seçin
  5. RDWeb için Ortak Ad ve DNS ekleyin. (Tüm RD Farm sunucularını ekledim)

Örnek:

CN rdweb.domain.local

CN rdcb.domain.local

CN rdsh1.domain.local

CN rdsh2.domain.local

CN rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Dost adına rdweb.domain.local ekleyin ve sonra sertifikayı oluşturun
  2. Sertifikayı özel ile dışa aktar
  3. RD dağıtım konsoluna alın.

Bunların hepsini yapın ve Seviye Güvenilir olacak ve Durum Tamam

Todd Ouimet
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.