Я настраиваю ферму служб удаленных рабочих столов, и у меня возникают проблемы при настройке сертификатов для ее использования. Демонстрацию проблемы, которую я вижу, можно найти в шаге № 4.
На данный момент я убежден, что есть проблемы с пользовательским интерфейсом, и ищу способы их обойти. Есть ли способ настроить сертификаты в Службах удаленных рабочих столов, чтобы параметры сохранялись и отражались в графическом интерфейсе? Если нет, могу ли я проверить правильность настроек?
Шаг № 1 - Создайте сертификат для использования.
Я настроил сертификат для использования с RD Web Access. Сертификат хранится в MMC «Сертификаты» на моем посреднике подключений к удаленному рабочему столу, и я настраиваю ферму с этого компьютера.
Позволив RD Web Access сгенерировать собственный сертификат, я обнаружил, что требуются следующие свойства:
- Расширенное использование ключа
- Проверка подлинности сервера
- Аутентификация клиента
- Это может не требоваться, но самоподписанный сертификат включает его.
- Ключевое использование
- Цифровой подписи
- Соглашение о ключе
- Альтернативное имя субъекта
- DNS-имя = domain.com
Объезд о создании самоподписанного сертификата
Как быстрый обходной путь, я смог обойти проблему с созданием самозаверяющих сертификатов с использованием powershell. Документация по командлету New-RDCertificate содержит следующий пример:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Ввод этого в оболочку приведет к сообщению об ошибке, утверждающем, что функция Get-Server
не может быть найдена. Перед использованием New-RDCertificate
вы должны импортировать модуль RemoteDesktop с помощью Import-Module RemoteDesktop
.
Шаг № 2 - Соблюдайте стандартное поведение
При первом посещении диалогового окна «Свойства развертывания» перейдите в «Диспетчер серверов» -> «Службы удаленных рабочих столов» -> «Коллекции» и выберите «Редактировать свойства развертывания» в раскрывающемся списке «ЗАДАЧИ» в группе «КОЛЛЕКЦИИ». Появится следующий экран. :
Это окно вводит в заблуждение, потому что level
поле указано как «Не настроено». Если я правильно понимаю, все три службы ролей используют самозаверяющий сертификат. Для роли RD Web Access это можно проверить, посетив веб-сайт:
Используемый сертификат также появляется в MMC Certificates:
Шаг № 3 - Назначить новый сертификат
Диалоговое окно «Свойства развертывания» позволит мне выбрать существующий сертификат. Сертификат должен быть размещен на локальных компьютерах MMC Certificates в «Персональном» хранилище сертификатов. Закрытый ключ необходимо будет экспортировать, а вам нужно будет предоставить пароль. Я временно экспортировал свой сертификат в файл с именем temp.pfx
и паролем, а затем импортировал его в Службы удаленных рабочих столов.
Как только это будет сделано, графический интерфейс пользователя покажет, что он готов принять новую конфигурацию.
Как только я нажимаю кнопку «Применить», графический интерфейс показывает успех.
Это можно проверить, посетив веб-сайт RD Web Access во второй раз. Там нет ошибки сертификата.
Шаг № 4 - GUI не может поддерживать свое состояние
Если графический интерфейс пользователя закрыт и вновь открыт, все эти настройки будут потеряны.
На самом деле, настроенный мной сертификат все еще используется. Я могу продолжить доступ к сайту RD Web Access без каких-либо ошибок сертификата.
Как ни странно, если я использую кнопку «Создать новый сертификат ...» для создания самозаверяющего сертификата, это окно обновится до уровня «Ненадежный». Затем этот параметр будет поддерживаться путем открытия и закрытия диалогового окна «Свойства развертывания».
Могу ли я что-нибудь сделать, чтобы мои настройки отображались? Я чувствую, что что-то не так, когда GUI утверждает, что я не полностью настроил сертификаты.
Ответы:
Я вчера проверил нашу ферму и заметил, что это Windows 2008 ... У вас 2012. Я уверен, что есть большие различия, но я надеюсь, что моя информация поможет.
Открытие MMC -> Сертификаты -> Учетная запись компьютера Я вижу 2 сертификата в папке «Личные / Сертификаты»:
Самоподписанный показывает ошибку в деталях, ваш сертификат имеет ту же ошибку?
Чтобы устранить эту ошибку, просто скопируйте и вставьте сертификат из подпапки «personal / Certificates» в «Trusted Root Certification Authorities / Certificates». С этим шагом тот же сертификат не выдает ошибки.
После этого есть только два места, где вы можете настроить сертификат (в RDS Windows 2008), который я нашел.
Наш RemoteApp Manager показывает:
Настройки цифровой подписи:
И в «Конфигурации узла сеансов RD, в настройках соединения:
В конце , и если я правильно помню, мы решили это, проверив все параметры, просмотрщик событий, убедившись в отсутствии ошибок сертификата, заполнив некоторые локальные группы, предоставив им доступ с помощью политики безопасности ...
Удачи.
---- Обновлено ----
Не забудьте импортировать в профиль пользователя, центр сертификации эмитента или сертификат (если он самозаверяющий) в «Доверенные корневые центры сертификации / сертификаты», чтобы клиент не получил ошибку сертификата. Этот момент был важным в нашей системе.
источник
У меня была точно такая же проблема, и я нашел исправление. Это все, как вы создали шаблон сертификата и запросили сертификат.
Вот исправление:
Пример:
CN = rdweb.domain.local
CN = rdcb.domain.local
CN = rdsh1.domain.local
CN = rdsh2.domain.local
CN = rdsh3.domain.local
rdweb.domain.local
rdcb.domain.local
rdsh1.domain.local
rdsh2.domain.local
rdsh3.domain.local
Вы делаете все это, и уровень будет доверенным и статус в порядке
источник