Удаленный рабочий стол продолжает просить меня принять сертификат?

22

Я использую удаленный рабочий стол на Windows 7 RC1, подключаясь к серверу Windows 2008.

Каждый раз, когда я запускаю соединение, я получаю следующее всплывающее окно: -

введите описание изображения здесь

Проблема с сертификатом имеет смысл -> она была создана с моего собственного сервера, который не является официальным центром сертификации. Конечно. Поэтому я должен сообщить моей машине, что любой сертификат, который приходит с моего сервера, вы можете принять.

Поэтому я просматриваю сертификат и устанавливаю его. Я позволил ему определить лучшее место для его установки. например

введите описание изображения здесь

К сожалению, каждый раз, когда я подключаюсь, я все еще получаю этот всплывающий вопрос.

Поэтому я попытался вручную сказать, где его установить. Я сказал, чтобы установить его, например, в.

введите описание изображения здесь

но все же я получаю предупреждающий вопрос.

Итак ... у кого-нибудь есть предложения?

windows-server-2008 windows-7 remote-desktop Pure.Krome
источник
Я не думаю, что у вас есть оригинальные изображения для этого? Imageshack с тех пор удалил их. Этот вопрос имеет много просмотров и много голосов, поэтому было бы неплохо восстановить его, если это возможно. К сожалению, archive.org не имеет копий фотографий imageshack.
Марк Хендерсон
:( искренне извиняюсь @MarkHenderson, я не знаю.
Pure.Krome
Я воссоздал их сам. Надеюсь, они были достаточно близки к оригиналу.
Марк Хендерсон
Да, эти звонки. та!
Pure.Krome

Ответы:

25

Сертификат необходимо добавить в хранилище «Trusted Root Certification Authorities» вашего локального компьютера . Добавление этого в пользовательский магазин "Trusted Root Certification Authorities" недостаточно ! Если это звучит странно, не волнуйтесь - это так.

Если вы думаете, что уже установили сертификат, перейдите к «Переместить сертификат на клиенте».

Экспорт сертификата на сервер

Сначала сертификат необходимо экспортировать в файл. На сервере, то есть компьютере, к которому вы хотите подключиться:

  1. Бег %windir%\System32\mmc.exe
  2. Меню File->Add/Remove Snap-in...
  3. Выберите Certificates-> Add >-> Computer account-> Local computer->Finish
  4. OKAdd or Remove Snap-insдиалог. Консоль должна теперь содержать Certificates (Local Computer).
  5. Выберите Certificates (Local Computer)-> Remote Desktop-> Certificates. Там должен быть один сертификат с именем вашего компьютера.
  6. Откройте сертификат.
  7. Откройте Detailsвкладку.
  8. Copy to File...
  9. Выберите любой формат, например DER encoded binary X.509 (.CER).
  10. Введите любое имя файла, например <computername>.cer.
  11. Скопируйте файл на ваш клиентский компьютер.

Другой способ получить сертификат - выполнить шаги с 6 по 10 на клиентском компьютере в диалоговом окне с предупреждением об удаленном рабочем столе, указанном в вопросе. Но вы доверяете сети в этом случае. По крайней мере, сравните отпечатки пальцев, чтобы убедиться, что вы доверяете нужному сертификату.

Импорт сертификата на клиенте

На клиенте, то есть на компьютере, к которому вы подключаетесь, для получения всплывающего окна с предупреждением выполните:

  1. Бег %windir%\System32\mmc.exe
  2. Меню File->Add/Remove Snap-in...
  3. Выберите Certificates-> Add-> Computer account-> Local computer->Finish
  4. OKAdd or Remove Snap-insдиалог. Консоль должна теперь содержать Certificates (Local Computer).
  5. Выберите Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates.
  6. Меню Action-> All Tasks-> Import....
  7. Введите путь к экспортированному сертификату, например <computername>.cer.
  8. Place all certificates in the following store-> Trusted Root Certification Authorities.
  9. Finish, Вы больше не должны получать предупреждение.

Переместить сертификат на клиента

Если вы уже установили сертификат через диалоговое окно с предупреждением, его можно найти в хранилище текущего пользователя. Пропустите шаги выше и просто переместите сертификат в нужное место:

  1. Выполните шаги с 1 по 3, как описано в разделе «Импорт сертификата на клиенте».
  2. Добавьте еще одну Certificatesоснастку, на этот раз для My user account.
  3. Сертификат должен быть где-то здесь. Попробуйте Certificates - Current User-> Intermediate Certification Authorities-> Certificatesсначала.
  4. Перетащите и вставьте или вставьте сертификат в Certificates (Local Computer)-> Trusted Root Certification Authorities-> Certificates. Обратите внимание, что сертификат хранит стек, поэтому вы все равно увидите сертификат в хранилище своего пользователя! Вы больше не должны получать предупреждение.
Рональд Бляшке
источник
2
Хороший пост, и у меня есть продолжение, которое я с удовольствием отправлю на новый вопрос. Как это можно сделать в более широком масштабе? т.е. можно ли создавать и импортировать подстановочный сертификат, чтобы разрешить подключение ко всем компьютерам в одном домене?
Тейлор Джерринг
Произойдет ли это автоматически, если вы просто установите флажок «Больше не запрашивать подключения к этому компьютеру»? Почему вы рекомендуете импортировать сертификат, а не использовать его?
Бинки
4

Я думаю, что вам нужно проверить путь сертификата и заставить ваш компьютер доверять действительному корню и / или промежуточным продуктам, а не самому сертификату. Вы также можете увидеть под вкладкой пути, где находится реальная проблема ...

На изображениях устанавливаемый вами сертификат не выглядит недействительным - корень проблемы в том, что ... это было глупо, извините ^^

Оскар Дювеборн
источник
конечно .. но как?
Pure.Krome
Если вы щелкнете на вкладке «Путь сертификации», которую вы опубликовали, и выберите корневой узел в дереве (или любой другой узел, на котором обнаружена проблема), вы можете просмотреть его, а затем установить его или еще что-то ...
Оскар Дювеборн
После нажатия на вкладку «Путь к сертификации» я нашел единственный способ установить сертификат выше по дереву - щелкнуть «Копировать в файл ...», а затем установить этот файл. Сертификат правильно отображался в моей оснастке для сертификации, однако это не решило проблему.
Дилан Меадор
1

Если вы создали сертификат самостоятельно, то на вашем сервере должен быть установлен Центр сертификации. Вы должны получить корневой сертификат от вашего органа по сертификации и установить , что в Trusted Root Certification Authorites магазин - не является свидетельством , что он выдан на сервер RDP.

Тим Лонг
источник
1
  1. Нажмите «Просмотреть сертификат ...»
  2. Нажмите «Установить сертификат»
  3. Нажмите «Далее» в мастере импорта
  4. Установите переключатель «Поместить все сертификаты в следующий магазин»
  5. Нажмите «Обзор ...»
  6. Установите флажок «Показать физические магазины»
  7. Разверните сторонние корневые центры сертификации
  8. Выберите «Локальный компьютер»
  9. Нажмите "ОК"
  10. Нажмите «Далее», затем «Готово», чтобы завершить работу мастера
ctsears
источник
1

Я не смог получить сертификат для принятия, используя что-либо из предложенного, однако вы можете настроить функцию обработки сертификатов в настройках RDP, чтобы не требовалось запускать сеанс RDP.

  1. Откройте экземпляр RDP и щелкните параметры
  2. Затем перейдите на вкладку «Дополнительно»
  3. Выберите «Подключиться и не предупреждать меня» в разделе «Проверка подлинности сервера».
  4. Затем просто установите остальные детали как обычно и нажмите «Подключиться».

Это остановит блокировку аутентификации сертификата.

ArchieVersace
источник
Это на самом деле довольно умная вещь :) Я мог бы просто попробовать это: P
Pure.Krome
1

Я просто разобрался с этим в моей собственной системе, я надеюсь, что это та же самая проблема, о которой здесь говорится. Похоже, что мастер импорта сертификатов, который вызывает удаленный рабочий стол, не сохраняет сертификат в хранилище доверенных корневых центров сертификации, даже если мастер указывает, что импорт был успешным.

Это можно проверить, вызвав mmc у адвоката и добавив оснастку сертификации, чтобы просмотреть содержимое хранилища доверенных корневых центров сертификации.

Обходной путь - сохранить сертификацию (с хоста) в файл, а затем на вашем клиенте импортировать файл с помощью mmc в хранилище доверенных корневых центров сертификации на вашем клиентском компьютере.

Я думаю, что это может быть ошибка, представленная в Win 7 SP1 (или функция ...)

дон
источник
это произошло для меня ДО SP1 ... но это довольно интересно. Я попробую :) Пояснение: вы предлагаете сначала сохранить сертификат (экспортировать сертификат) на хост-сервере? затем скопировать его с хост-сервера на клиент?
Pure.Krome
Это должно сработать, проблема, кажется, (по крайней мере из того, что я видел) мастера импорта, связанного с клиентской стороной удаленного терминала. Я также имел успех просмотра, а затем сохранения сертификата на диск при первом подключении к хосту со стороны клиента, а затем с помощью mmc для импорта сертификата в хранилище доверенных сертификатов. Ключ, кажется, использует mmc для импорта, а не мастера
Дон
0

При выборе хранилища сертификатов установите флажок «Показать физические хранилища» и сохраните сертификат в «Доверенные корневые центры сертификации> Локальный компьютер».


источник
1
Нет - не повезло. У меня нет этой опции :: img190.imageshack.us/img190/6739/certificateproblems.png
Pure.Krome
0

Прямо над кнопкой « Просмотреть сертификат» у вас есть галочка « Не спрашивать меня снова о подключении к этому компьютеру» . Проверь это.

Эндрю Мур
источник
Нет - это не совсем то, что я хочу. Правда, мне не задают этот раздражающий вопрос ... но за кулисами сертификат все еще не является доверенным (хотя это и не имеет большого значения).
Pure.Krome
-1

У меня был только краткий и мучительный опыт работы с сертификатами, но я бы предложил попробовать Личный магазин вместо доверенных корневых центров сертификации.

Адриан Анттила
источник
Я думал, что сохраненный Личный был по умолчанию? Меня все еще просили принять сертификат, даже после того, как я импортировал его в личный магазин вручную.
Pure.Krome