Uzak Masaüstü Bağlantısı için CA sertifikası kullanma

22

Web üzerinden yönetim ihtiyaçları için Uzak Masaüstü Bağlantısı üzerinden uzaktaki bir Windows Server 2012 R2'ye bağlanıyorum. AD vb. Olmadan tek bir web ve veritabanı sunucusudur.

Uzak Masaüstü Hizmetleri / Terminal Sunucusu hakkında konuşmuyorum, yalnızca Denetim Masası> Sistem> Uzaktan Ayarlar aracılığıyla etkinleştirilen basit Uzak Masaüstü özelliği. Sunucu, bağlantıyı şifrelemek için otomatik olarak kendinden imzalı bir sertifika oluşturacak ve Uzak Masaüstü Bağlantısı istemcisi güvenilmeyen CA nedeniyle bir sertifika hatası gösterecektir.

Bu sunucunun FQDN'sine verilen ve sunucu kimlik doğrulaması için geçerli bir CA imzalı sertifikam var (MSSQL Sunucusu uzaktan erişim için kullanıyorum).

Bunu da RDP bağlantıları için kullanmak istiyorum. Şimdiye kadar bulduğum tüm dersler (bu soru gibi ) Uzak Masaüstü Servisleri veya Terminal Servisleri için süreci açıklamaktadır. Bu soruyuwmic bir sertifika belirlemek için bir komut belirlerken buldum , ancak tam olarak ne yaptığımı bilmediğimde bazı değerleri ayarlamayı denemek istemiyorum. Yaptığım, otomatik olarak oluşturulan otomatik imzanın bulunduğu Yerel Bilgisayarın Uzak Masaüstü Sertifikalarına eklemektir.

Mümkün mü? Evet ise, ne yapmam gerekiyor?

Teşekkürler!

ssl-certificate  remote-desktop  rdp  windows  windows-server-2012-r2 
marce
kaynak

Yanıtlar:

26

wmicSertifika parmak izi değerini ayarlamak için kullanmayı belirttiğinizi düşündüğünüz soru , herhangi bir ek özellik yüklemesi olmadan çalışmalıdır. Burada da benzer bir soruyu biraz daha ayrıntılı olarak sordum ve cevapladım . Ayrıca wmic komutu için bir PowerShell eşdeğeri vardır. Ama burada da biraz daha açıklama ekleyeceğim.

Bu sertifikayı MSSQL SSL için zaten kullandığınız için, sistemdeki sertifika depolarından birine zaten yüklenmiş olduğunu varsayıyorum. MSSQL'in çalıştığı bir hizmet hesabı bağlamında yüklediyseniz, "Yerel Bilgisayar" için de Kişisel veya Uzak Masaüstü mağazasına yüklemeniz gerekebilir.
görüntü tanımını buraya girin

Orası tamamlandıktan sonra, sadece güncellemeniz gerekir SSLCertificateSHA1Hashdeğeri Win32_TSGeneralSettingbenim de komutlardan birini kullanarak noktaya önceki soruya .

Değerin şu anda ayarlanmış olup olmadığını kontrol etmek ve kendinden imzalı sertifika ile karşılaştırmak istiyorsanız, wmickomutu aşağıdaki gibi değiştirebilirsiniz . Bunu, ayarlamaya çalıştığınız yeni parmak izi değerinin doğru olduğunu doğrulamak için de kullanabilirsiniz.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Çıktı şöyle görünmelidir:
görüntü tanımını buraya girin

Ryan Bolger
kaynak
2
Teşekkürler! Ben cazibe gibi çalıştı, neden orijinal q / a ilk etapta bulamadım bilmiyorum. Oy vermek için yeterli desteğe sahip değilim, ancak işe yarayana kadar beklemede kalacağım.
marce
En azından Windows 7'de, sertifikayı "Uzak masaüstü" deposuna taşımaya gerek yok. "Kişisel" sertifika deposu gayet iyi çalışıyor.
André Borie
Sol üst kısımdaki kırmızı araç kutusu simgesinin bulunduğu ekran görüntüsü nedir?
Kyle Humfeld
Bu sadece, ek bileşen adı verilen aynı UI yapılarıyla yazılmış bir grup küçük uygulama için genel bir ana bilgisayar uygulaması olan standart Windows mmc.exe (Microsoft Yönetim Konsolu) 'dur. Ekran görüntüsüne yüklenen ek bileşen Sertifika ek bileşenidir.
Ryan Bolger
2

Uzak Masaüstü Hizmetleri / Terminal Hizmetleri'ne atıfta bulunan kılavuzlar, yalnızca varsayılan RDP hizmetini çalıştıran bir sunucuya da uygulanabilir - aynı hizmetin yalnızca daha sınırlı bir örneği.

Bu kılavuzlarda eksik olabileceğiniz, hizmeti yönetme araçlarıdır; hizmeti yönetebilmek için Uzak Masaüstü Hizmetleri için rol yönetimi araçlarını yüklemek isteyeceksiniz.

Install-WindowsFeature -Name RSAT-RDS-Tools
Shane Madden
kaynak
1
Bu, 2012R2 olduğu için, Powershell Komutanlığı'nı yalnızca, bütçelerini yönetmek için de kullanabilirdi. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate, vb. Powershell ile yapılandırmak için rol yöneticisi araçlarına ihtiyacı olmamalıdır.
Zoredache
@Zoredache Püf noktaları için teşekkürler. Get-RDCertificateBaşlamak için basit bir işlem denedim ama şu hatayı aldım: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.Korkarım en azından bir şey yüklemem gerekiyor, değil mi? Önerilen @ShaneMadden Özellikleri ile devam etmeli miyim?
marce
Hım, denememiştim. Bunu 2012R2 sunucusunda çalıştırmayı denedim, test amaçlı olarak bir Masaüstü Hizmetleri olarak tamamen kurulum yaptım. Aynı hatayı aldım, şimdi kafam karıştı, çünkü kesinlikle işe yaraması gerekiyordu.
Zoredache
@Zoredache Yani en azından ben değilim ... Peki, bir Install-WindowsFeature -Name RSAT-RDS-Toolssonraki ile deneyeceğim ve geri rapor edeceğim .
marce
1
@ShaneMadden Doğru yöne bakıyorsunuz, ancak aslında tüm paket gerekli. Belki gelecek olanları yansıtacak şekilde cevabınızı güncelleyebilirsiniz.
marce
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.