Bagaimana saya bisa mengatasi masalah dengan konfigurasi sertifikat di Layanan Desktop Jarak Jauh?

32

Saya menyiapkan layanan Remote Desktop Services, dan saya kesulitan mengkonfigurasi sertifikat untuk menggunakannya. Peragaan masalah yang saya lihat dapat ditemukan di Langkah # 4.

Pada titik ini saya yakin ada masalah dengan antarmuka pengguna, dan saya sedang mencari cara untuk mengatasinya. Apakah ada cara untuk mengonfigurasi sertifikat di Layanan Desktop Jarak Jauh sehingga pengaturan dapat ditampilkan di GUI? Jika tidak, apakah ada cara bagi saya untuk memverifikasi bahwa pengaturan sudah benar?

Langkah # 1 - Buat sertifikat untuk digunakan.

Saya telah mengonfigurasi sertifikat untuk digunakan dengan RD Web Access. Sertifikat disimpan dengan dalam MMC Sertifikat di Broker Koneksi RD saya, dan saya mengkonfigurasi pertanian dari komputer itu. sertifikat

Saya menemukan dengan membiarkan RD Web Access menghasilkan sertifikat sendiri bahwa diperlukan properti berikut:

  • Penggunaan Kunci yang Ditingkatkan
    • Otentikasi Server
    • Otentikasi Klien
      • Ini mungkin tidak diperlukan, tetapi sertifikat yang ditandatangani sendiri menyertakannya.
  • Penggunaan Kunci
    • Tanda tangan digital
    • Perjanjian Utama
  • Nama Alternatif Subjek
    • Nama DNS = domain.com

Putar tentang pembuatan sertifikat yang ditandatangani sendiri

Sebagai jalan memutar cepat, saya dapat mengatasi masalah dengan membuat sertifikat yang ditandatangani sendiri menggunakan PowerShell. Dokumentasi untuk cmdlet New-RDCertificate memberikan contoh berikut:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Mengetikkan ini ke dalam shell akan menghasilkan pesan kesalahan yang mengklaim bahwa suatu fungsi, Get-Servertidak dapat ditemukan. Sebelum menggunakan New-RDCertificate, Anda harus mengimpor Modul RemoteDesktop dengan Import-Module RemoteDesktop.

Langkah # 2 - Amati perilaku out-of-box

Pertama kali Anda mengunjungi kotak dialog Deployment Properties dengan menavigasi ke Server Manager -> Remote Desktop Services -> Collections dan memilih "Edit Deployment Properties" dari daftar turun bawah "TUGAS" di pengelompokan "KOLEKSI", Anda akan melihat layar berikut : masukkan deskripsi gambar di sini

Jendela ini menyesatkan karena levelbidangnya terdaftar sebagai "Tidak Dikonfigurasi". Jika saya mengerti benar ketiga layanan peran menggunakan sertifikat yang ditandatangani sendiri. Untuk peran RD Web Access, ini dapat diverifikasi dengan mengunjungi situs web: kesalahan sertifikat

Sertifikat yang digunakan juga muncul dalam MMC Sertifikat: sertifikat MMC yang menunjukkan sertifikat RD Web Access

Langkah # 3 - Tetapkan sertifikat baru

Kotak dialog Deployment Properties akan memungkinkan saya untuk memilih sertifikat yang ada. Sertifikat harus ditempatkan dalam MMC Sertifikat komputer lokal di toko sertifikat "Pribadi". Kunci pribadi harus dapat diekspor, dan Anda harus memberikan kata sandi. Saya sementara mengekspor sertifikat saya ke file bernama temp.pfxdengan kata sandi, dan kemudian mengimpornya ke Remote Desktop Services dari sana.

Setelah ini selesai, GUI akan menunjukkan bahwa ia siap untuk menerima konfigurasi baru. siap menerima sertifikat

Setelah saya mengklik tombol "Terapkan", GUI menunjukkan keberhasilan. masukkan deskripsi gambar di sini

Ini dapat diverifikasi dengan mengunjungi situs web RD Web Access untuk kedua kalinya. Tidak ada kesalahan sertifikat. masukkan deskripsi gambar di sini

Langkah # 4 - GUI gagal mempertahankan statusnya

Jika GUI ditutup dan dibuka kembali, semua pengaturan ini tampaknya hilang. pengaturan hilang

Sebenarnya, sertifikat yang saya konfigurasi masih digunakan. Saya dapat terus mengakses situs RD Web Access tanpa ada kesalahan sertifikat.

Anehnya, jika saya menggunakan tombol "Buat sertifikat baru ..." untuk menghasilkan sertifikat yang ditandatangani sendiri, jendela ini akan diperbarui ke tingkat "Tidak Dipercaya". Pengaturan ini kemudian akan dipertahankan melalui pembukaan dan penutupan kotak dialog Properti Penyebaran.

Apakah ada yang bisa saya lakukan agar pengaturan saya tetap melekat? Saya merasa ada sesuatu yang salah ketika GUI mengklaim bahwa saya belum sepenuhnya mengonfigurasi sertifikat.

Michael Steele
sumber
7
Ini adalah pertanyaan yang dipikirkan dengan sangat baik. Pujian.
Ryan Ries
Pertanyaan bagus; Sayang sekali tidak dapat menetapkan lebih banyak +1. Tidak memiliki laboratorium untuk pengujian tetapi menemukan beberapa tautan bagus: technet.microsoft.com/en-us/library/cc730805.aspx . technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 dan rivald.blogspot.com/2011/06/... Juga: blog.kristinlgriffin.com/2010/07/...
Lizz
Keberuntungan belum Michael?
Lizz
@ Lizz Sejauh yang saya tahu sertifikat yang kami gunakan untuk layanan peran RD Web Access diterima oleh klien. Antarmuka pengguna terus melaporkan "Tidak Dikonfigurasi" meskipun sebenarnya menggunakan sertifikat yang saya tentukan.
Michael Steele
Seperti kekaburan Anda. Bukan jenis tradisional.
Pengguna StackExchange

Jawaban:

2

Saya memeriksa pertanian kami kemarin dan memperhatikan bahwa itu adalah Windows 2008 ... Milik Anda 2012. Saya yakin ada perbedaan besar, tapi saya harap info saya membantu.

Membuka MMC -> Sertifikat -> Akun komputer Saya melihat 2 sertifikat di folder "pribadi / Sertifikat":

  • Sertifikat Ditandatangani Sendiri (Penerbit yang sama Subjek)
  • Sertifikat yang dikeluarkan oleh CA Domain kami

Tanda tangan menunjukkan kesalahan dalam detail, apakah sertifikat Anda memiliki kesalahan yang sama? Kesalahan

Untuk mengatasi kesalahan ini, cukup salin dan tempel sertifikat dari subfolder "pribadi / Sertifikat" ke "Otoritas / Sertifikat Sertifikasi Root Tepercaya". Dengan langkah itu sertifikat yang sama tidak memberikan kesalahan. Sertifikat ok

Setelah itu, hanya ada dua tempat di mana Anda mengkonfigurasi sertifikat (di RDS Windows 2008) yang saya temukan.

RemoteApp Manager kami menunjukkan: Utama

Pengaturan Digital Signature: DSS

Dan dalam Konfigurasi Host RD Session, dalam pengaturan koneksi: RDSHC

Pada akhirnya , dan jika saya ingat benar, kami menyelesaikannya dengan memeriksa semua opsi, penampil acara, memastikan tidak ada kesalahan sertifikat, mengisi beberapa grup lokal, memberi mereka akses oleh Kebijakan Keamanan ...

Semoga berhasil.

---- Diperbarui ----

Ingatlah untuk mengimpor di profil pengguna, CA Penerbit atau sertifikat (jika ditandatangani sendiri) di "Otoritas Sertifikasi Sertifikasi Tepercaya" sehingga klien tidak mendapatkan kesalahan sertifikat. Poin ini penting dalam sistem kami.

Carlos Garcia
sumber
Terima kasih untuk informasi. Kami menggunakan sertifikat yang ditandatangani oleh CA kami sendiri. Masalah yang saya alami adalah unik untuk Windows Server 2012. GUI mengklaim bahwa sertifikat tidak dikonfigurasi dengan benar atau bahkan sama sekali.
Michael Steele
2

Saya memiliki masalah yang sama persis dan menemukan perbaikannya. Ini semua bagaimana Anda membuat templat sertifikat dan meminta sertifikat.
Inilah solusinya:

  1. Buat templat sertifikat dari dengan menduplikasi templat Komputer
  2. Edit sertifikat baru dan kedua mod penting ini 2a. Izinkan ekspor kunci pribadi 2b. Pada tab Nama Subjek pilih tombol radio "Persediaan dalam permintaan"
  3. Publikasikan template baru
  4. Buat permintaan baru dan pilih templat baru
  5. Tambahkan Nama Umum dan DNS untuk RDWeb. (Saya menambahkan semua server RD Farm)

Contoh:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Tambahkan rdweb.domain.local ke nama ramah dan kemudian hasilkan sertifikat
  2. Ekspor sertifikat dengan pribadi
  3. Impor ke konsol penerapan RD.

Anda melakukan semua itu dan Level akan Tepercaya dan Status OK

Todd Ouimet
sumber