32 votos

¿Cómo puedo trabajar alrededor de problemas con la configuración del certificado en servicios de escritorio remoto?

Voy a preparar una Remota granja de Servicios de Escritorio, y estoy teniendo problemas para configurar los certificados para su uso. Una demostración de que el problema que estoy viendo que puede ser encontrado en el Paso #4.

En este punto estoy convencido de que hay problemas con la interfaz de usuario, y estoy buscando maneras alrededor de ellos. Hay alguna forma de configurar certificados en Servicios de Escritorio Remoto para que la configuración se mantenga y se refleja en la interfaz gráfica de usuario? Si no, hay alguna manera para mí para comprobar que la configuración es correcta?

Paso #1 - Crear el certificado para ser utilizado.

He configurado un certificado para su uso con Acceso Web a escritorio remoto. El certificado se almacena en los Certificados de MMC en mi Conexión a escritorio remoto Corredor, y yo soy la configuración de la granja de servidores de ese equipo. certificate

He encontrado dejando de Acceso Web de RD generar su propio certificado de que las siguientes propiedades son necesarios:

  • Uso Mejorado De Clave
    • La Autenticación De Servidor
    • La Autenticación De Cliente
      • Esto puede no ser necesario, pero el certificado auto-firmado incluye.
  • El Uso De La Clave
    • Firma Digital
    • Acuerdo De Claves
  • Nombre Alternativo Del Sujeto
    • DNS Name=domain.com

Desvío sobre el certificado auto-firmado generación

Como un desvío rápida, yo era capaz de trabajar en torno a un problema con la creación de los certificados auto-firmados con el uso de powershell. La documentación de la Nueva-RDCertificate cmdlet da el siguiente ejemplo:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Escribiendo esto en el shell dará como resultado un mensaje de error afirmar que una función, Get-Server no se encuentra. Antes de utilizar New-RDCertificate, debe importar el RemoteDesktop Módulo con Import-Module RemoteDesktop.

Paso #2 - Observar fuera de la caja de comportamiento

La primera vez que visita la Implementación del cuadro de diálogo Propiedades de la navegación para el Administrador del Servidor -> Servicios de Escritorio Remoto -> Colecciones y seleccionando "Editar las Propiedades de Implementación" de las "TAREAS" de la lista desplegable en la "COLECCIONES" de la agrupación, usted verá la siguiente pantalla: enter image description here

Esta ventana es engañosa porque el level campo aparece como "No Configurado". Si entiendo correctamente todos los tres de los servicios de rol son el uso de un certificado auto-firmado. Para el Acceso Web a escritorio remoto función de esto se puede comprobar al visitar el sitio web: certificate error

El certificado que se utiliza también aparece en la MMC de Certificados: certificates MMC showing the RD Web Access certificate

Paso #3 - Asignar un nuevo certificado

La Implementación del cuadro de diálogo Propiedades me va a permitir seleccionar mi certificado existente. El certificado debe ser colocado dentro de los equipos locales de los Certificados de MMC en el "Personal" almacén de certificados. La clave privada se necesita para ser exportable, y usted tendrá que proporcionar la contraseña. Yo exportadas temporalmente mi certificado a un archivo de nombre temp.pfx con una contraseña y, a continuación, importado en el de Servicios de Escritorio Remoto desde allí.

Una vez hecho esto, la interfaz gráfica de usuario le indicará que está listo para aceptar la nueva configuración. ready to accept certificate

Una vez que haga clic en el botón "Aplicar", la interfaz gráfica de usuario indica el éxito. enter image description here

Esto se puede comprobar visitando el Acceso Web de RD sitio web por segunda vez. No hay ningún error de certificado. enter image description here

Paso #4 - La interfaz gráfica de usuario no logra mantener su estado

Si la interfaz de usuario se cierra y vuelve a abrir, todos estos valores parecen ser perdido. settings are lost

En realidad, el certificado he configurado todavía se utiliza. Soy capaz de seguir accediendo a la Web de escritorio remoto sitio de Acceso sin ningún tipo de errores de certificado.

Curiosamente, si yo uso el de "Crear un nuevo certificado..." botón para generar un certificado auto-firmado este se abrirá la ventana de actualización de la "Confianza" de nivel. Este ajuste tendrá que ser mantenido a través de la apertura y cierre de la Implementación del cuadro de diálogo Propiedades.

¿Hay algo que puedo hacer para tener mis opciones parecen de palo? Me siento como que algo está mal cuando la GUI de reclamaciones no he configurado totalmente certificados.

2voto

Carlos Puntos 158

He comprobado que nuestra granja de ayer y se dio cuenta que es Windows 2008... el Tuyo es de 2012. Estoy seguro de que hay grandes diferencias, pero espero que mi información de ayuda.

La apertura de MMC -> Certificados -> cuenta de Equipo veo 2 certificados en "personal/Certificados" de la carpeta:

  • Certificado autofirmado (el mismo Emisor de un Sujeto)
  • Certificado emitido por nuestro Dominio CA

El autofirmado muestra un error en los detalles, tiene su certificado el mismo error? Error

Para resolver este error, sólo tiene que copiar y pegar el certificado de "personal/Certificados" subcarpeta "entidades emisoras Raíz de Confianza/Certificados". Con ese paso el mismo certificado no da error. OK Certificate

Después de eso, sólo hay dos lugares donde puede configurar el certificado (en RDS Windows 2008) que he encontrado.

Nuestro Administrador de RemoteApp muestra: Main

La Firma Digital configuración: DSS

Y en el 'Host de Sesión de escritorio Configuración, en la configuración de la conexión: RDSHC

Al final, y si no recuerdo correcto, hemos resuelto que la comprobación de todas las opciones, el visor de sucesos, asegurándose de que no hay errores de certificado, rellenar algunos grupos locales, dándoles acceso por la Política de Seguridad...

La Buena Suerte.

---- Actualizado----

Recuerde importar en el perfil de usuario, el Emisor de CA o el certificado (si es autofirmado) en las "entidades emisoras Raíz de Confianza/Certificados" para que el cliente no obtendrá ningún error de certificado. Este punto fue importante en nuestro sistema.

2voto

Todd Ouimet Puntos 11

Tuve exactamente el mismo problema y encontrar la solución. Todo es cómo se creó la plantilla de certificado y solicitar el certificado.
Aquí está la solución:

  1. Crear una plantilla de certificado de duplicar la plantilla del Equipo
  2. Editar el nuevo certificado y estos dos importantes mods 2a. Permitir exportar la clave privada 2b. En el Nombre del Sujeto seleccione la pestaña "Suministro en la solicitud de botón de radio"
  3. Publicar la nueva plantilla
  4. Crear una nueva solicitud y seleccione la nueva plantilla
  5. Agregar Nombre Común y DNS para la RDWeb. (He añadido todos los RD de la Granja de servidores)

Ejemplo:

CN=rdweb.dominio.local

CN=rdcb.dominio.local

CN=rdsh1.dominio.local

CN=rdsh2.dominio.local

CN=rdsh3.dominio.local

rdweb.dominio.local

rdcb.dominio.local

rdsh1.dominio.local

rdsh2.dominio.local

rdsh3.dominio.local

  1. Agregar rdweb.dominio.local a nombre descriptivo y, a continuación, generar el certificado
  2. Exportar el certificado con privado
  3. La importación en RD implementación de la consola.

Puedes hacer todo eso y Nivel de Confianza y el Estado OK

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: