Estoy configurando una granja de Servicios de Escritorio Remoto, y estoy teniendo problemas para configurar los certificados para su uso. Una demostración del problema que estoy viendo se puede encontrar en el Paso #4.
En este punto estoy convencido de que hay problemas con la interfaz de usuario, y estoy buscando maneras de evitarlos. ¿Hay alguna manera de configurar los certificados en los Servicios de Escritorio Remoto para que los ajustes se mantengan y se reflejen en la GUI? Si no, ¿hay alguna manera de verificar que la configuración es correcta?
Paso nº 1 - Crear el certificado que se va a utilizar.
He configurado un certificado para utilizarlo con RD Web Access. El certificado está almacenado en la MMC de Certificados en mi RD Connection Broker, y estoy configurando la granja desde ese equipo.
Dejando que RD Web Access genere su propio certificado, descubrí que se requieren las siguientes propiedades:
- Uso mejorado de claves
- Autenticación del servidor
- Autenticación de clientes
- Puede que no sea necesario, pero el certificado autofirmado lo incluye.
- Claves de uso
- Firma digital
- Acuerdo clave
- Asunto Nombre alternativo
- Nombre DNS=dominio.com
Desvío sobre la generación de certificados autofirmados
Como un desvío rápido, yo era capaz de trabajar en torno a un problema con la creación de certificados autofirmados utilizando powershell. La documentación para el Nuevo certificado RDC ofrece el siguiente ejemplo:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Escribiendo esto en el Shell resultará en un mensaje de error alegando que una función, Get-Server
no se puede encontrar. Antes de utilizar New-RDCertificate
debe importar el módulo RemoteDesktop con Import-Module RemoteDesktop
.
Paso nº 2 - Observar el comportamiento fuera de la caja
La primera vez que acceda al cuadro de diálogo Propiedades de despliegue, vaya a Administrador del servidor -> Servicios de Escritorio remoto -> Colecciones y seleccione "Editar propiedades de despliegue" en la lista desplegable "TAREAS" de la agrupación "COLECCIONES", verá la siguiente pantalla:
Esta ventana es engañosa porque el level
aparece como "No configurado". Si he entendido bien, los tres servicios de rol utilizan un certificado autofirmado. Para el rol RD Web Access esto puede ser verificado visitando el sitio web:
El certificado utilizado también aparece en la MMC Certificados:
Paso nº 3 - Asignar nuevo certificado
El cuadro de diálogo Propiedades de implantación me permitirá seleccionar mi certificado existente. El certificado debe colocarse en la MMC de Certificados del ordenador local, en el almacén de certificados "Personal". La clave privada deberá ser exportable y deberá proporcionar la contraseña. He exportado temporalmente mi certificado a un archivo llamado temp.pfx
con una contraseña, y luego lo importó a Servicios de Escritorio Remoto desde allí.
Una vez hecho esto, la interfaz gráfica de usuario indicará que está lista para aceptar la nueva configuración.
Una vez que hago clic en el botón "Aplicar", la interfaz gráfica de usuario indica que se ha realizado correctamente.
Esto puede verificarse visitando el sitio web RD Web Access por segunda vez. No hay ningún error de certificado.
Paso #4 - La GUI no mantiene su estado
Si se cierra la interfaz gráfica y se vuelve a abrir, todos estos ajustes parecen perderse.
En realidad, el certificado que configuré se sigue utilizando. Puedo seguir accediendo al sitio RD Web Access sin ningún error de certificado.
Curiosamente, si utilizo el botón "Crear nuevo certificado..." para generar un certificado autofirmado, esta ventana se actualizará a un nivel "No fiable". Esta configuración se mantendrá al abrir y cerrar el cuadro de diálogo Propiedades de implementación.
¿Hay algo que pueda hacer para que mi configuración se mantenga? Tengo la sensación de que algo va mal cuando la interfaz gráfica de usuario afirma que no he configurado completamente los certificados.
7 votos
Es una pregunta muy bien planteada. Felicidades.
0 votos
Excelente pregunta; lástima que no pueda asignar más +1.. No tengo laboratorio para hacer pruebas, pero he encontrado algunos buenos enlaces: technet.microsoft.com/es-us/library/cc730805.aspx . technet.microsoft.com/es-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 y rivald.blogspot.com/2011/06/ También: blog.kristinlgriffin.com/2010/07/
0 votos
¿Ha habido suerte, Michael?
0 votos
@Lizz Por lo que puedo ver el certificado que estamos utilizando para el servicio de rol RD Web Access está siendo aceptado por los clientes. La interfaz de usuario sigue informando "No configurado" a pesar de que en realidad está utilizando el certificado que he especificado.
0 votos
Como tu desenfoque. No del tipo tradicional.
0 votos
@IanCarroll Es el efecto "vidrio esmerilado" de Paint.NET.
0 votos
Nos enfrentamos a un problema similar hace unos días... Se solucionó con el certificado correcto y poniendo CA y CA intermedias (no el Cert final) en los escritorios de los clientes. No recomiendo Autosign certs.
0 votos
@Carlos Estoy usando certificados firmados por mi propia CA. Te importaría compartir qué campos usaste en tus certificados?