Menggunakan sertifikat CA untuk Koneksi Desktop Jarak Jauh

22

Saya menghubungkan melalui web ke Windows Server 2012 R2 jarak jauh melalui Remote Desktop Connection untuk kebutuhan administrasi. Ini adalah satu web dan server basis data tanpa AD dll.

Saya tidak berbicara tentang Remote Desktop Services / Terminal Server, hanya fitur Remote Desktop sederhana yang diaktifkan melalui Control Panel> System> Remote Settings. Server akan secara otomatis membuat sertifikat yang ditandatangani sendiri untuk mengenkripsi koneksi dan klien Remote Desktop Connection akan menunjukkan kesalahan sertifikat karena CA yang tidak dipercaya.

Saya memiliki sertifikat bertanda tangan CA yang dikeluarkan untuk FQDN dari server ini dan valid untuk otentikasi server (Saya menggunakannya untuk akses jarak jauh MSSQL Server).

Saya juga ingin menggunakannya untuk koneksi RDP. Semua tutorial (seperti pertanyaan ini ) yang saya temukan sejauh ini menggambarkan proses untuk Layanan Desktop Jarak Jauh atau Layanan Terminal. Saya telah menemukan pertanyaan ini menyatakan wmicperintah untuk menetapkan sertifikat, tetapi saya tidak ingin mencoba menetapkan beberapa nilai ketika saya tidak tahu apa yang sebenarnya saya lakukan. Apa yang saya lakukan adalah menambahkannya ke Remote Desktop Certificates of Local Computer di mana tanda tangan otomatis yang dihasilkan juga berada.

Apakah itu mungkin? Jika ya, apa yang harus saya lakukan?

Terima kasih!

Marce
sumber

Jawaban:

26

Pertanyaan yang Anda temukan yang menyebutkan digunakan wmicuntuk mengatur nilai cap jempol sertifikat harus berfungsi tanpa instalasi fitur tambahan. Saya bertanya dan menjawab pertanyaan serupa di sini dengan sedikit lebih detail. Ini juga memiliki setara PowerShell untuk perintah wmic. Tapi saya akan menambahkan beberapa penjelasan di sini juga.

Karena Anda sudah menggunakan sertifikat ini untuk MSSQL SSL, saya menganggap itu sudah diinstal ke salah satu toko sertifikat di sistem. Jika Anda menginstalnya dalam konteks akun layanan yang menjalankan MSSQL, Anda mungkin juga perlu menginstalnya ke toko Personal atau Remote Desktop untuk "Komputer Lokal" juga.
masukkan deskripsi gambar di sini

Setelah itu ada di sana, Anda hanya perlu memperbarui SSLCertificateSHA1Hashnilai Win32_TSGeneralSettinguntuk menunjuk menggunakan salah satu perintah di pertanyaan saya sebelumnya .

Jika Anda ingin memeriksa apa nilai saat ini diatur untuk dan membandingkannya dengan sertifikat yang ditandatangani sendiri, Anda dapat mengubah wmicperintah sebagai berikut. Anda juga dapat menggunakan ini untuk memvalidasi bahwa nilai sidik jari baru yang Anda coba set sudah benar.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Outputnya akan terlihat seperti ini:
masukkan deskripsi gambar di sini

Ryan Bolger
sumber
2
Terima kasih! yang bekerja seperti saya pesona, tidak tahu mengapa saya belum menemukan q / a asli Anda di tempat pertama. Tidak memiliki cukup perwakilan untuk ditingkatkan, tetapi saya akan menyimpannya di backlog sampai berfungsi.
marce
Setidaknya pada Windows 7 tidak perlu memindahkan sertifikat ke toko "Remote desktop". Toko sertifikat "pribadi" berfungsi dengan baik.
André Borie
Dari mana aplikasi screenshot itu, dengan ikon kotak alat merah di kiri atas?
Kyle Humfeld
Ini hanya standar Windows mmc.exe (Microsoft Management Console) yang merupakan aplikasi host generik untuk sekelompok aplikasi mini yang ditulis dengan konstruksi UI yang sama yang disebut snap-in. Snap-in yang dimuat dalam tangkapan layar adalah snap-in Sertifikat.
Ryan Bolger
2

Panduan yang merujuk pada Layanan Desktop Jarak Jauh / Layanan Terminal juga berlaku untuk server yang hanya menjalankan layanan RDP default - itu hanya contoh yang lebih terbatas dari layanan yang sama.

Apa yang mungkin Anda lewatkan dari panduan itu adalah alat untuk mengelola layanan - Anda ingin menginstal alat administrasi peran untuk Layanan Desktop Jarak Jauh agar dapat mengelola layanan.

Install-WindowsFeature -Name RSAT-RDS-Tools
Shane Madden
sumber
1
Karena ini adalah 2012R2, ia juga bisa menggunakan Commandlets Powershell untuk mengelola sertifikatnya. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate, dll. Dia seharusnya tidak memerlukan alat admin peran untuk mengkonfigurasinya melalui PowerShell.
Zoredache
@Zoredache Terima kasih atas petunjuk Anda. Saya mencoba yang sederhana Get-RDCertificateuntuk memulai tetapi mendapat kesalahan berikut: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.Jadi saya takut saya harus menginstal setidaknya sesuatu, bukan? Haruskah saya melanjutkan dengan Fitur yang disarankan @ShaneMadden?
marce
Hrm, saya belum benar-benar mencobanya. Saya baru saja mencoba menjalankannya di server 2012R2 yang saya setel sepenuhnya sebagai Layanan Desktop untuk tujuan pengujian. Saya mendapat kesalahan yang sama, jadi sekarang saya bingung, karena itu pasti berhasil.
Zoredache
@Zoredache Jadi setidaknya bukan aku ... Yah, aku akan mencoba yang Install-WindowsFeature -Name RSAT-RDS-Toolsberikutnya dan melaporkan kembali.
marce
1
@ShaneMadden Anda menunjuk ke arah yang benar, tetapi sebenarnya seluruh paket diperlukan. Mungkin Anda bisa memperbarui jawaban Anda untuk mencerminkan itu bagi mereka yang akan datang.
marce