¿Cómo puedo solucionar problemas con la configuración de certificados en los Servicios de Escritorio remoto?

32

Estoy configurando una granja de Servicios de Escritorio remoto y tengo problemas para configurar los certificados para su uso. Una demostración del problema que estoy viendo se puede encontrar en el Paso 4.

En este punto, estoy convencido de que hay problemas con la interfaz de usuario y estoy buscando formas de solucionarlos. ¿Hay alguna forma de configurar certificados en Servicios de escritorio remoto para que la configuración se mantenga y se refleje en la GUI? Si no es así, ¿hay alguna forma de verificar que la configuración sea correcta?

Paso 1: crea el certificado que se utilizará.

He configurado un certificado para usar con RD Web Access. El certificado se almacena en Certificados MMC en mi Agente de conexión RD, y estoy configurando la granja desde esa computadora. certificado

Descubrí que al permitir que RD Web Access generara su propio certificado, se requieren las siguientes propiedades:

  • Uso mejorado de claves
    • Autenticación de Servidor
    • Autenticación de cliente
      • Es posible que esto no sea obligatorio, pero el certificado autofirmado lo incluye.
  • Uso clave
    • Firma digital
    • Acuerdo clave
  • Nombre alternativo del sujeto
    • Nombre DNS = dominio.com

Desvío sobre la generación de certificados autofirmados

Como un desvío rápido, pude solucionar un problema con la creación de certificados autofirmados usando powershell. La documentación para el cmdlet New-RDCertificate da el siguiente ejemplo:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Si escribe esto en el shell, aparecerá un mensaje de error que dice que Get-Serverno se puede encontrar una función . Antes de usar New-RDCertificate, debe importar el Módulo RemoteDesktop con Import-Module RemoteDesktop.

Paso # 2 - Observar el comportamiento fuera de la caja

La primera vez que visite el cuadro de diálogo Propiedades de implementación navegando a Administrador del servidor -> Servicios de escritorio remoto -> Colecciones y seleccionando "Editar propiedades de implementación" en la lista desplegable "TAREAS" en el grupo "COLECCIONES", verá la siguiente pantalla : ingrese la descripción de la imagen aquí

Esta ventana es engañosa porque el levelcampo aparece como "No configurado". Si entiendo correctamente, los tres servicios de rol están utilizando un certificado autofirmado. Para el rol de Acceso web de RD, esto se puede verificar visitando el sitio web: error de certificado

El certificado que se está utilizando también aparece en los Certificados MMC: certificados MMC que muestran el certificado de acceso web RD

Paso # 3 - Asignar nuevo certificado

El cuadro de diálogo Propiedades de implementación me permitirá seleccionar mi certificado existente. El certificado debe colocarse dentro de las computadoras locales Certificados MMC en el almacén de certificados "Personal". La clave privada deberá ser exportable y deberá proporcionar la contraseña. Exporté temporalmente mi certificado a un archivo temp.pfxcon una contraseña y luego lo importé a los Servicios de escritorio remoto.

Una vez hecho esto, la GUI indicará que está listo para aceptar la nueva configuración. listo para aceptar el certificado

Una vez que hago clic en el botón "Aplicar", la GUI indica éxito. ingrese la descripción de la imagen aquí

Esto se puede verificar visitando el sitio web de RD Web Access por segunda vez. No hay error de certificado. ingrese la descripción de la imagen aquí

Paso 4: la GUI no puede mantener su estado

Si la GUI se cierra y se vuelve a abrir, todas estas configuraciones parecen perderse. la configuración se pierde

En realidad, el certificado que configuré todavía se está utilizando. Puedo continuar accediendo al sitio de acceso web de RD sin ningún error de certificado.

Curiosamente, si uso el botón "Crear nuevo certificado ..." para generar un certificado autofirmado, esta ventana se actualizará a un nivel "No confiable". Esta configuración se mantendrá a través de la apertura y cierre del cuadro de diálogo Propiedades de implementación.

¿Hay algo que pueda hacer para que parezca que mi configuración se mantiene? Siento que algo está mal cuando la GUI afirma que no he configurado completamente los certificados.

Michael Steele
fuente
77
Esta es una pregunta muy bien pensada. Prestigio.
Ryan Ries
Excelente pregunta; Lástima que no pueda asignar más +1. No tengo laboratorio para probar pero encontré algunos enlaces buenos: technet.microsoft.com/en-us/library/cc730805.aspx . technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 y rivald.blogspot.com/2011/06/… También: blog.kristinlgriffin.com/2010/07/…
Lizz
¿Alguna suerte aún Michael?
Lizz
@Lizz Hasta donde puedo decir, el certificado que estamos usando para el servicio de rol RD Web Access está siendo aceptado por los clientes. La interfaz de usuario continúa informando "No configurado" aunque en realidad está usando el certificado que especifiqué.
Michael Steele
Como tu desenfoque. No del tipo tradicional.
Usuario de StackExchange

Respuestas:

2

Ayer revisé nuestra granja y noté que es Windows 2008 ... La suya es 2012. Estoy seguro de que hay grandes diferencias, pero espero que mi información ayude.

Abriendo MMC -> Certificados -> Cuenta de computadora Veo 2 certificados en la carpeta "personal / Certificados":

  • Certificado autofirmado (mismo emisor y sujeto)
  • Certificado emitido por nuestro dominio CA

El autofirmado muestra un error en los detalles, ¿tiene su certificado el mismo error? Error

Para resolver este error, simplemente copie y pegue el certificado de la subcarpeta "personal / Certificados" en "Autoridades / certificados de certificación raíz de confianza". Con ese paso, el mismo certificado no da error. OK certificado

Después de eso, solo hay dos lugares donde configura el certificado (en RDS Windows 2008) que he encontrado.

Nuestro Administrador de RemoteApp muestra: Principal

La configuración de la firma digital: DSS

Y en la 'Configuración de host de sesión de RD, en la configuración de la conexión: RDSHC

Al final , y si recuerdo correcto, lo resolvimos verificando todas las opciones, el visor de eventos, asegurándonos de que no haya errores de certificado, poblando algunos grupos locales, dándoles acceso por la Política de Seguridad ...

Buena suerte.

---- Actualizado ----

Recuerde importar en el perfil de usuario, la CA emisora ​​o el certificado (si está autofirmado) en las "Autoridades / certificados de certificación raíz de confianza" para que el cliente no haya recibido ningún error de certificado. Este punto fue importante en nuestro sistema.

Carlos garcia
fuente
Gracias por la información. Estamos utilizando certificados firmados por nuestra propia CA. El problema que tengo es exclusivo de Windows Server 2012. La GUI afirma que los certificados no están configurados correctamente o ni siquiera.
Michael Steele
2

Tuve exactamente el mismo problema y encontré la solución. Todo es cómo creó la plantilla de certificado y cómo solicitó el certificado.
Aquí está la solución:

  1. Cree una plantilla de certificado duplicando la plantilla Equipo
  2. Edite el nuevo certificado y estas dos modificaciones importantes 2a. Permitir exportar clave privada 2b. En la pestaña Nombre del sujeto, seleccione el botón de opción "Suministro en la solicitud"
  3. Publicar la nueva plantilla.
  4. Cree una nueva solicitud y seleccione la nueva plantilla
  5. Agregue nombre común y DNS para RDWeb. (Agregué todos los servidores RD Farm)

Ejemplo:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Agregue rdweb.domain.local al nombre descriptivo y luego genere el certificado
  2. Exportar el certificado con privado
  3. Importar a la consola de implementación de RD.

Haces todo eso y Level será Trusted y Status OK

Todd Ouimet
fuente