A área de trabalho remota continua me pedindo para aceitar um certificado?


22

estou usando a Área de trabalho remota no Windows 7 RC1, conectando-me a um servidor Windows 2008.

Sempre que inicio uma conexão, recebo a seguinte janela pop-up: -

insira a descrição da imagem aqui

O problema do certificado faz sentido -> ele foi criado a partir do meu próprio servidor, que não é uma autoridade de certificação oficial. Certo. Portanto, preciso informar à minha máquina que qualquer certificado que vem do meu servidor pode ser aceito.

Então, veja o certificado e instale-o. Deixei determinar o melhor local para instalá-lo. por exemplo

insira a descrição da imagem aqui

Infelizmente, toda vez que eu conecto, ainda recebo essa pergunta pop-up.

Então, eu tentei dizer manualmente onde instalá-lo. Eu disse para instalá-lo no por exemplo.

insira a descrição da imagem aqui

mas ainda recebo a pergunta de aviso.

Então .. alguém tem alguma sugestão?


Acho que você não tem as imagens originais para isso? Imageshack desde então os excluiu. Esta pergunta tem muitas opiniões e muitos votos, por isso seria bom restaurá-la, se possível. Infelizmente, o archive.org não possui cópias das fotos imageshack.
Mark Henderson

:( sinceramente desculpe @ MarkHenderson, eu não.
Pure.Krome

Eu os recriei. Esperemos que estes estejam próximos o suficiente do original.
Mark Henderson

Sim - aqueles sinos. ta!
Pure.Krome

Respostas:


25

O certificado precisa ser adicionado ao armazenamento "Autoridades de certificação raiz confiáveis" do computador local . Adicioná-lo ao armazenamento "Autoridades de certificação raiz confiáveis" do usuário não é suficiente ! Se isso soa confuso, não se preocupe - é.

Se você acha que já instalou o certificado, pule para "Mover certificado no cliente".

Exportar certificado no servidor

Primeiro, o certificado precisa ser exportado para um arquivo. No servidor, ou seja, o computador ao qual você deseja se conectar:

  1. Corre %windir%\System32\mmc.exe
  2. Menu File->Add/Remove Snap-in...
  3. Selecione Certificates-> Add >-> Computer account-> Local computer->Finish
  4. OKo Add or Remove Snap-insdiálogo. O console agora deve conter Certificates (Local Computer).
  5. Selecione Certificates (Local Computer)-> Remote Desktop-> Certificates. Deve haver um único certificado com o nome do seu computador.
  6. Abra o certificado.
  7. Abra a Detailsaba
  8. Copy to File...
  9. Selecione qualquer formato, por exemplo DER encoded binary X.509 (.CER).
  10. Digite qualquer nome de arquivo, por exemplo <computername>.cer.
  11. Copie o arquivo para o seu computador cliente.

Outra maneira de obter o certificado é seguir as etapas 6 a 10 no computador cliente, na caixa de diálogo de aviso da Área de Trabalho Remota mencionada na pergunta. Mas você está confiando na rede neste caso. Pelo menos compare as impressões digitais, para ter certeza de que confia no certificado certo.

Importar certificado no cliente

No cliente, ou seja, no computador do qual você está se conectando, e receba o pop-up de aviso, faça:

  1. Corre %windir%\System32\mmc.exe
  2. Menu File->Add/Remove Snap-in...
  3. Selecione Certificates-> Add-> Computer account-> Local computer->Finish
  4. OKo Add or Remove Snap-insdiálogo. O console agora deve conter Certificates (Local Computer).
  5. Selecione Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates.
  6. Menu Action-> All Tasks-> Import....
  7. Digite o caminho para o certificado exportado, por exemplo <computername>.cer.
  8. Place all certificates in the following store-> Trusted Root Certification Authorities.
  9. Finish. Você não deve mais receber o aviso.

Mover certificado no cliente

Se você já instalou o certificado através da caixa de diálogo de aviso, poderá encontrá-lo no repositório do usuário atual. Pule as etapas acima e mova o certificado para o lugar certo:

  1. Siga as etapas de 1 a 3, conforme descrito em "Importar certificado no cliente".
  2. Adicione outro Certificatessnap-in, desta vez para My user account.
  3. O certificado deve estar aqui em algum lugar. Tente Certificates - Current User-> Intermediate Certification Authorities-> Certificatesprimeiro.
  4. Arraste e solte ou recorte e cole o certificado para Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates. Observe que o certificado armazena a pilha, portanto você ainda verá o certificado na loja do usuário! Você não deve mais receber o aviso.

2
Boa postagem e tenho uma continuação, que fico feliz em postar em uma nova pergunta. Como isso pode ser feito em uma escala maior? ou seja, é possível gerar e importar um certificado curinga para permitir a conexão com todos os computadores no mesmo domínio?
Taylor Gerring

Isso aconteceria automaticamente se você apenas marque a caixa de seleção "Não me peça novamente conexões com este computador"? Por que você recomenda importar o certificado em vez de usá-lo?
binki 25/01

4

Eu acho que você precisa verificar o caminho do certificado e fazer com que seu computador confie na raiz e / ou intermediários reais e não no próprio certificado. Você também pode ver na guia caminho onde está o problema real ...

Nas fotos, o certificado que você está instalando não parece ser inválido - a raiz do problema é .. eh .. isso foi um trocadilho estúpido, desculpe ^^


claro .. mas como?
319. Pure.Krome

Se você clicar na guia Caminho de certificação que você postou e selecione o nó raiz na árvore (ou qualquer outro nó está mostrando um problema) que possa ver que em vez e, em seguida, instalá-lo ou outros enfeites ...
Oskar Duveborn

Depois de clicar na guia Caminho da certificação, a única maneira que encontrei para instalar um certificado mais alto na árvore foi clicar em Copiar para arquivo ... e depois instalar esse arquivo. O certificado estava sendo exibido corretamente no meu snap-in de certificação, mas não resolveu o problema.
Dylan Meador 26/08

1

Se você mesmo criou o certificado, deve ter a Autoridade de Certificação instalada em seu servidor. Você precisa obter o certificado raiz da sua autoridade de certificação e instalá- lo no armazenamento das Autoridades de Certificação Raiz Confiáveis ​​- e não o certificado que ele emitiu para o servidor RDP.


1
  1. Clique em "Ver certificado ..."
  2. Clique em "Instalar certificado"
  3. Clique em "Avançar" no assistente de importação
  4. Selecione o botão de opção "Colocar todos os certificados na seguinte loja"
  5. Clique em "Procurar ..."
  6. Marque a caixa de seleção "Mostrar lojas físicas"
  7. Expandir as autoridades de certificação raiz de terceiros
  8. Selecione "Computador local"
  9. Clique OK"
  10. Clique em "Avançar" e depois em "Concluir" para concluir o assistente.

1

Não foi possível aceitar o certificado usando qualquer coisa sugerida; no entanto, você pode ajustar a funcionalidade de manipulação de certificados nas configurações de RDP para que não seja necessário iniciar uma sessão de RDP.

  1. Abra a instância RDP e clique em opções
  2. Em seguida, clique na guia Avançado
  3. Selecione "Conectar e não me avise" na seção Autenticação do servidor
  4. Em seguida, basta definir os outros detalhes como normal e pressionar conectar.

Isso interromperá a ocorrência do bloco de autenticação de certificado.


Isso é realmente uma coisa muito inteligente a se fazer :) Eu poderia apenas tentar isso: P
Pure.Krome

1

Acabei de resolver isso em meu próprio sistema, espero que seja o mesmo problema mencionado aqui. Parece que o assistente de importação de certificados invocado pela área de trabalho remota não armazena o certificado no armazenamento de autoridades de certificação raiz confiáveis, mesmo que o assistente indique que a importação foi bem-sucedida.

Isso pode ser verificado chamando o mmc do conselho e adicionando o snap-in de certificação para exibir o conteúdo do armazenamento confiável das autoridades de certificação raiz.

A solução alternativa é salvar a certificação (do host) em um arquivo e, em seu cliente, importe o arquivo usando mmc para o armazenamento confiável de autoridades de certificação raiz no computador cliente.

Eu acho que isso pode ser um bug introduzido no win 7 sp1 (ou um recurso ...)


isso ocorreu para mim antes do SP1 ... mas isso é bem interessante. Vou tentar :) Esclarecimento: você sugere que salve o certificado (exporte o certificado) no servidor host primeiro? copiá-lo do servidor host para o cliente?
precisa saber é o seguinte

Isso deve funcionar, o problema parece ser (pelo menos pelo que vi) o assistente de importação associado ao lado do cliente do terminal remoto. Também tive êxito na exibição, salvando o certificado em disco, conectando-me primeiro ao host pelo lado do cliente e usando o mmc para importar o certificado para o armazenamento confiável de certificados. A chave parece estar usando mmc para importar em vez do assistente
Don


0

Logo acima do botão Visualizar certificado , você tem uma marca de seleção informando Não me peça novamente conexões com este computador . Verifique-o.


Não - não é exatamente isso que eu quero. É verdade que eu não recebi essa pergunta irritante .. mas nos bastidores o certificado ainda não é confiável (mesmo que isso realmente não importe).
Pure.Krome

-1

Eu só tive experiências breves e dolorosas com certificados, mas minha sugestão seria experimentar o repositório pessoal em vez das autoridades de certificação raiz confiáveis.


Eu pensei que o pessoal armazenado era o padrão? Ainda fui solicitado a aceitar o certificado, mesmo depois de importá-lo manualmente para a loja persone.
Pure.Krome
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.