Với máy khách Microsoft RDP, làm cách nào để tôi đánh dấu chứng chỉ máy chủ cụ thể là đáng tin cậy?

3

Tôi đang sử dụng máy khách RDC của Microsoft trên Mac OS X, để kết nối với máy chủ Windows. Tôi đang kết nối với máy chủ RDC sử dụng chứng chỉ tự ký để nhận dạng chính nó. Kết quả là, khi tôi kết nối, máy khách RDC của tôi đưa cho tôi hộp thoại cảnh báo như thế này:

Chứng chỉ không phải từ cơ quan chứng nhận tin cậy (CA)

Tôi có thể nhấp vào "Kết nối" để tiếp tục, nhưng sau đó tôi không có bảo mật chống lại cuộc tấn công trung gian, vì "Kết nối" hướng dẫn khách hàng của tôi bỏ qua chứng chỉ máy chủ. Tôi muốn tiếp tục kết nối, nhưng theo cách an toàn.

Một tùy chọn khác là đi đến ngăn tùy chọn của máy khách Microsoft RDC:

Ngăn tùy chọn máy khách RDC: Bảo mật

và chuyển sang "Luôn kết nối, ngay cả khi xác thực thất bại". Bằng cách này, tôi không bao giờ hiển thị lại cảnh báo: cứ như thể tôi tự động nhấp vào "Kết nối" mỗi lần. Tuy nhiên, một lần nữa, điều này không an toàn: nó bỏ qua việc xác thực máy chủ và do đó dễ bị tấn công bởi người trung gian.

Tôi muốn được an toàn. Do đó, cả hai cách tiếp cận trên đều không thỏa đáng.

Về mặt khái niệm, con đường rõ ràng phía trước là bằng cách nào đó có được quyền truy cập vào chứng chỉ tự ký của máy chủ, sau đó yêu cầu khách hàng RDC coi nó là đáng tin cậy và không bao giờ cảnh báo tôi về chứng chỉ đó nữa. Điều này sẽ được an toàn (như SSH). Tuy nhiên, tôi không thể tìm ra cách để khách hàng RDC của mình làm điều đó.

Làm cách nào để tôi sắp xếp chứng chỉ của máy chủ này được coi là đáng tin cậy (mặc dù thực tế là nó tự ký) và hệ thống không bao giờ cảnh báo tôi về các kết nối sử dụng chứng chỉ cụ thể đó, nhưng vẫn cung cấp bảo mật (ví dụ: cảnh báo cho tôi nếu giấy chứng nhận thay đổi)?

macos  remote-desktop 
DW
nguồn
Bạn đã thử thêm chứng chỉ tự ký vào Ứng dụng> Tiện ích> Truy cập Keychain chưa? Trong bài viết này về Chrome robpeck.com/2010/10/ , chứng chỉ được thêm vào móc khóa Hệ thống, bài viết này về Microsoft Entourage kb.kerio.com/article/ trộm nói để thêm nó vào móc khóa X509Anchors. Bạn có thể thử nó và báo cáo lại?
jaume
Tôi đã thử thêm nó vào móc khóa Hệ thống, móc khóa đăng nhập và móc khóa Microsoft_Inter liền_Certert. Trong mọi trường hợp, tôi đánh dấu nó là "Luôn tin tưởng". Không ai trong số họ làm việc: Tôi tiếp tục nhận được thông báo cảnh báo. Tôi không thể tìm thấy bất kỳ móc khóa nào khác để nhập nó vào. Tuy nhiên, cảm ơn vì ý tưởng này, @jaume!
DW
PS Tôi không thể làm theo hướng dẫn để thêm vào móc khóa X509Anchors. Tôi đã làm theo hướng dẫn, nhưng tôi không tìm thấy bất kỳ Móc khóa X509Anchors nào trong Hệ thống> Thư viện> Móc khóa trên máy Mountain Lion của tôi.
DW

Câu trả lời:

4

Tôi đã xem xét điều này một chút và trong trường hợp của tôi, vấn đề nằm ở phía RDP Server. Chứng chỉ mà nó đang sử dụng thực sự là một chứng chỉ tự ký, được tạo tự động mà không được ký bởi chứng chỉ gốc CA địa phương của tôi. Do đó, không quan trọng là tôi đặt chứng chỉ gốc ở đâu, tôi luôn nhận được thông báo "Chứng chỉ không đáng tin cậy ..."

Tôi đã cài đặt chứng chỉ gốc từ CA cục bộ của mình trong móc khóa Hệ thống và đặt nó thành Luôn tin cậy, sau đó ở phía Windows Server, sử dụng Công cụ quản trị -> Dịch vụ máy tính từ xa -> Cấu hình máy chủ phiên máy tính từ xa, tôi đã cập nhật chứng chỉ được gán cho Kết nối RDP-Tcp. Nhấp chuột phải vào Kết nối RDP-Tcp, chọn Thuộc tính. Trên tab Chung, xem ở phía dưới có một liên kết có nhãn "Tự động tạo"

(xem hình ảnh của khung ở đây: http://www.windowsecurity.com/img/upl/image0021281709633474.jpg )

Đó là chứng chỉ tự ký. Nhấp vào Chọn cho phép bạn chọn bất kỳ chứng chỉ nào khác đã có trên máy. Khi thay đổi đó được thực hiện, lời nhắc đã biến mất từ ​​phía khách hàng trong lần đăng nhập tiếp theo.

Hy vọng điều này có ích (mặc dù nó thực sự chỉ có ích nếu bạn có quyền truy cập quản trị viên ở phía Windows ...)

Chris
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.