Usando o certificado CA para a Conexão de Área de Trabalho Remota


22

Estou me conectando pela Web a um Windows Server 2012 R2 remoto via Conexão de Área de Trabalho Remota para necessidades administrativas. É um servidor web e de banco de dados único sem um AD, etc.

Não estou falando de Serviços de Área de Trabalho Remota / Servidor de Terminal, apenas o simples recurso Área de Trabalho Remota ativado no Painel de Controle> Sistema> Configurações Remotas. O servidor criará automaticamente um certificado autoassinado para criptografar a conexão e o cliente de Conexão de Área de Trabalho Remota mostrará um erro de certificado devido à autoridade de certificação não confiável.

Eu tenho um certificado assinado pela CA emitido para o FQDN deste servidor e válido para autenticação do servidor (estou usando-o para acesso remoto ao MSSQL Server).

Eu gostaria de usar esse também para conexões RDP. Todos os tutoriais (como esta pergunta ) encontrados até agora descrevem o processo dos Serviços de Área de Trabalho Remota ou Serviço de Terminal. Encontrei esta pergunta indicando um wmiccomando para definir um certificado, mas não quero tentar definir alguns valores quando não sei exatamente o que estou fazendo. O que fiz foi adicioná-lo aos Certificados da área de trabalho remota do computador local, onde também está localizado o autoassinado gerado automaticamente.

Isso é possível? Se sim, o que tenho que fazer?

Obrigado!

Respostas:


26

A pergunta que você mencionou usando wmicpara definir o valor da impressão digital do certificado deve funcionar sem nenhuma instalação de recurso adicional. Eu fiz e respondi a uma pergunta semelhante aqui com um pouco mais de detalhes. Ele também possui um equivalente do PowerShell para o comando wmic. Mas vou adicionar mais algumas explicações aqui também.

Como você já está usando este certificado para MSSQL SSL, presumo que ele já esteja instalado em um dos repositórios de certificados no sistema. Se você o instalou no contexto de uma conta de serviço em que o MSSQL está sendo executado, também poderá ser necessário instalá-lo no armazenamento da Área de Trabalho Pessoal ou Remota do "Computador Local".
insira a descrição da imagem aqui

Uma vez lá, você só precisa atualizar o SSLCertificateSHA1Hashvalor Win32_TSGeneralSettingpara apontá-lo usando um dos comandos da minha pergunta anterior .

Se você quiser verificar qual o valor atualmente definido e compará-lo com o certificado autoassinado, poderá alterar o wmiccomando para o seguinte. Você também pode usar isso para confirmar que o novo valor da impressão digital que você tentou definir está correto.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

A saída deve ser algo como isto:
insira a descrição da imagem aqui


2
Obrigado! que funcionou como eu encanto, não sei por que não encontrei seu q / a original em primeiro lugar. Não tem representante suficiente para votar, mas vou mantê-lo na lista de pendências até que funcione.
marce

Pelo menos no Windows 7, não há necessidade de mover o certificado para a loja "Área de trabalho remota". O armazenamento de certificados "pessoal" funciona muito bem.
André Borie

De que aplicativo é essa captura de tela, com o ícone vermelho da caixa de ferramentas no canto superior esquerdo?
Kyle Humfeld

É apenas o mmc.exe padrão do Windows (Console de Gerenciamento Microsoft), que é um aplicativo host genérico para vários mini aplicativos criados com as mesmas construções de interface do usuário chamadas snap-ins. O snap-in carregado na captura de tela é o snap-in Certificados.
Ryan Bolger

2

Os guias referentes aos Serviços de Área de Trabalho Remota / Serviços de Terminal também são aplicáveis ​​a um servidor que está apenas executando o serviço RDP padrão - é apenas uma instância mais limitada do mesmo serviço.

O que você pode estar faltando nesses guias são as ferramentas para administrar o serviço - você precisará instalar as ferramentas de administração de funções dos Serviços de Área de Trabalho Remota para poder gerenciar o serviço.

Install-WindowsFeature -Name RSAT-RDS-Tools

1
Como esse é o 2012R2, ele também pode usar os Commandlets do Powershell para gerenciar seus certificados. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate, etc. Ele não deve precisar das ferramentas de administração de funções para configurá-lo via PowerShell.
Zoredache

@ Zoredache Obrigado pela sua dica. Tentei uma maneira simples Get-RDCertificatede começar, mas recebi o seguinte erro: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.Então, tenho medo de instalar pelo menos alguma coisa, certo? Devo continuar com os Recursos sugeridos por @ShaneMadden?
marce 10/01

Hm, eu realmente não tinha tentado. Eu apenas tentei executá-lo no servidor 2012R2 que eu configurei totalmente como um Desktop Services para fins de teste. Recebi o mesmo erro, então agora estou confuso, pois isso certamente deveria ter funcionado.
precisa saber é o seguinte

@ Zoredache Portanto, não sou eu, pelo menos ... Bem, vou tentar com o Install-WindowsFeature -Name RSAT-RDS-Toolspróximo e relatar de volta.
11118

1
@ShaneMadden Você está apontando na direção certa, mas na verdade todo o pacote é necessário. Talvez você possa atualizar sua resposta para refletir isso para aqueles que virão.
marce
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.