Sử dụng chứng chỉ CA cho kết nối máy tính từ xa


22

Tôi đang kết nối qua web với Windows Server 2012 R2 từ xa thông qua Remote Desktop Connection cho nhu cầu quản trị. Nó là một máy chủ cơ sở dữ liệu và web duy nhất không có AD, v.v.

Tôi không nói về Remote Desktop Services / Terminal Server, chỉ có tính năng Remote Desktop đơn giản được kích hoạt thông qua Bảng điều khiển> Hệ thống> Cài đặt từ xa. Máy chủ sẽ tự động tạo chứng chỉ tự ký để mã hóa kết nối và máy khách Remote Desktop Connection sẽ hiển thị lỗi chứng chỉ do CA không tin cậy.

Tôi có chứng chỉ đã ký CA được cấp cho FQDN của máy chủ này và hợp lệ để xác thực máy chủ (Tôi đang sử dụng nó để truy cập từ xa Máy chủ MSSQL).

Tôi cũng muốn sử dụng cái đó cho các kết nối RDP. Tất cả các hướng dẫn (như câu hỏi này ) cho đến nay tôi đã mô tả quy trình cho Dịch vụ máy tính từ xa hoặc Dịch vụ đầu cuối. Tôi đã tìm thấy câu hỏi này trong đó nêu rõ một wmiclệnh để đặt chứng chỉ, nhưng tôi không muốn thử đặt một số giá trị khi tôi không biết chính xác mình đang làm gì. Những gì tôi đã làm là thêm nó vào Chứng chỉ máy tính từ xa của máy tính cục bộ nơi tự động tự tạo cũng được đặt.

Điều đó có thể không? Nếu có, tôi phải làm gì?

Cảm ơn!

Câu trả lời:


26

Câu hỏi bạn thấy rằng đề cập đến việc sử dụng wmicđể đặt giá trị vân tay chứng chỉ sẽ hoạt động mà không cần cài đặt tính năng bổ sung. Tôi đã hỏi và trả lời một câu hỏi tương tự ở đây với một chút chi tiết. Nó cũng có một PowerShell tương đương với lệnh wmic. Nhưng tôi sẽ thêm một số giải thích ở đây là tốt.

Vì bạn đã sử dụng chứng chỉ này cho MSSQL SSL, tôi cho rằng nó đã được cài đặt vào một trong các cửa hàng chứng chỉ trên hệ thống. Nếu bạn đã cài đặt nó trong ngữ cảnh của tài khoản dịch vụ mà MSSQL đang chạy, bạn cũng có thể cần phải cài đặt nó vào cửa hàng Cá nhân hoặc Máy tính từ xa cho "Máy tính cục bộ".
nhập mô tả hình ảnh ở đây

Khi đã có nó, bạn chỉ cần cập nhật SSLCertificateSHA1Hashgiá trị Win32_TSGeneralSettingđể trỏ đến nó bằng một trong các lệnh trong câu hỏi trước của tôi .

Nếu bạn muốn kiểm tra giá trị nào hiện được đặt và so sánh với chứng chỉ tự ký, bạn có thể thay đổi wmiclệnh thành như sau. Bạn cũng có thể sử dụng điều này để xác thực rằng giá trị vân tay mới mà bạn đã cố đặt là chính xác.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Đầu ra sẽ trông giống như thế này:
nhập mô tả hình ảnh ở đây


2
Cảm ơn! hoạt động như tôi say mê, không biết tại sao tôi không tìm thấy q / a ban đầu của bạn ở nơi đầu tiên. Không có đủ đại diện để nâng cấp, nhưng tôi sẽ giữ nó tồn đọng cho đến khi nó hoạt động.
hôn

Ít nhất trên Windows 7, không cần phải chuyển chứng chỉ đến cửa hàng "Máy tính từ xa". Cửa hàng chứng chỉ "cá nhân" hoạt động tốt.
André Borie

Ứng dụng đó là ảnh chụp màn hình từ đâu, với biểu tượng hộp công cụ màu đỏ ở trên cùng bên trái?
Kyle Humfeld

Đây chỉ là Windows mmc.exe tiêu chuẩn (Microsoft Management Console), là một ứng dụng máy chủ chung cho một loạt các ứng dụng nhỏ được viết với cùng cấu trúc UI được gọi là snap-in. Snap-in được tải trong ảnh chụp màn hình là snap-in Chứng chỉ.
Ryan Bolger

2

Các hướng dẫn đề cập đến Dịch vụ máy tính để bàn / Dịch vụ đầu cuối từ xa cũng có thể áp dụng cho máy chủ chỉ chạy dịch vụ RDP mặc định - đó chỉ là một phiên bản giới hạn hơn của cùng một dịch vụ.

Những gì bạn có thể thiếu trong các hướng dẫn đó là các công cụ để quản lý dịch vụ - bạn sẽ muốn cài đặt các công cụ quản trị vai trò cho Dịch vụ Máy tính Từ xa để có thể quản lý dịch vụ.

Install-WindowsFeature -Name RSAT-RDS-Tools

1
Vì đây là 2012R2, anh ta cũng có thể sử dụng Bộ chỉ huy Powershell để quản lý quân đội của mình. Set-RDCertert , Get-RDCertert, Add-RDCertert, v.v. Anh ta không cần các công cụ quản trị vai trò để cấu hình nó thông qua powershell.
Zoredache

@Zoredache Cảm ơn gợi ý của bạn. Tôi đã thử một cách đơn giản Get-RDCertificateđể bắt đầu nhưng gặp lỗi sau: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.Vì vậy, tôi e rằng tôi phải cài đặt ít nhất một cái gì đó, phải không? Tôi có nên tiếp tục với các Tính năng được đề xuất @ShaneMadden không?
hôn

Hrm, tôi đã không thực sự thử nó. Tôi vừa thử chạy nó trên máy chủ 2012R2, tôi đã thiết lập đầy đủ dưới dạng Dịch vụ Máy tính để bàn cho mục đích thử nghiệm. Tôi đã nhận được cùng một lỗi, vì vậy bây giờ tôi bối rối, vì điều đó chắc chắn đã làm việc.
Zoredache

@Zoredache Vì vậy, ít nhất đó không phải là tôi ... Chà, tôi sẽ thử với phần Install-WindowsFeature -Name RSAT-RDS-Toolstiếp theo và báo cáo lại.
hôn

1
@ShaneMadden Bạn đang chỉ đúng hướng, nhưng thực sự toàn bộ gói là bắt buộc. Có lẽ bạn có thể cập nhật câu trả lời của mình để phản ánh điều đó cho những người sẽ đến.
hôn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.