Estoy configurando una granja de Servicios de Escritorio remoto y tengo problemas para configurar los certificados para su uso. Una demostración del problema que estoy viendo se puede encontrar en el Paso 4.
En este punto, estoy convencido de que hay problemas con la interfaz de usuario y estoy buscando formas de solucionarlos. ¿Hay alguna forma de configurar certificados en Servicios de escritorio remoto para que la configuración se mantenga y se refleje en la GUI? Si no es así, ¿hay alguna forma de verificar que la configuración sea correcta?
Paso 1: crea el certificado que se utilizará.
He configurado un certificado para usar con RD Web Access. El certificado se almacena en Certificados MMC en mi Agente de conexión RD, y estoy configurando la granja desde esa computadora.
Descubrí que al permitir que RD Web Access generara su propio certificado, se requieren las siguientes propiedades:
- Uso mejorado de claves
- Autenticación de Servidor
- Autenticación de cliente
- Es posible que esto no sea obligatorio, pero el certificado autofirmado lo incluye.
- Uso clave
- Firma digital
- Acuerdo clave
- Nombre alternativo del sujeto
- Nombre DNS = dominio.com
Desvío sobre la generación de certificados autofirmados
Como un desvío rápido, pude solucionar un problema con la creación de certificados autofirmados usando powershell. La documentación para el cmdlet New-RDCertificate da el siguiente ejemplo:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Si escribe esto en el shell, aparecerá un mensaje de error que dice que Get-Serverno se puede encontrar una función . Antes de usar New-RDCertificate, debe importar el Módulo RemoteDesktop con Import-Module RemoteDesktop.
Paso # 2 - Observar el comportamiento fuera de la caja
La primera vez que visite el cuadro de diálogo Propiedades de implementación navegando a Administrador del servidor -> Servicios de escritorio remoto -> Colecciones y seleccionando "Editar propiedades de implementación" en la lista desplegable "TAREAS" en el grupo "COLECCIONES", verá la siguiente pantalla :
Esta ventana es engañosa porque el levelcampo aparece como "No configurado". Si entiendo correctamente, los tres servicios de rol están utilizando un certificado autofirmado. Para el rol de Acceso web de RD, esto se puede verificar visitando el sitio web:
El certificado que se está utilizando también aparece en los Certificados MMC:
Paso # 3 - Asignar nuevo certificado
El cuadro de diálogo Propiedades de implementación me permitirá seleccionar mi certificado existente. El certificado debe colocarse dentro de las computadoras locales Certificados MMC en el almacén de certificados "Personal". La clave privada deberá ser exportable y deberá proporcionar la contraseña. Exporté temporalmente mi certificado a un archivo temp.pfxcon una contraseña y luego lo importé a los Servicios de escritorio remoto.
Una vez hecho esto, la GUI indicará que está listo para aceptar la nueva configuración.
Una vez que hago clic en el botón "Aplicar", la GUI indica éxito.
Esto se puede verificar visitando el sitio web de RD Web Access por segunda vez. No hay error de certificado.
Paso 4: la GUI no puede mantener su estado
Si la GUI se cierra y se vuelve a abrir, todas estas configuraciones parecen perderse.
En realidad, el certificado que configuré todavía se está utilizando. Puedo continuar accediendo al sitio de acceso web de RD sin ningún error de certificado.
Curiosamente, si uso el botón "Crear nuevo certificado ..." para generar un certificado autofirmado, esta ventana se actualizará a un nivel "No confiable". Esta configuración se mantendrá a través de la apertura y cierre del cuadro de diálogo Propiedades de implementación.
¿Hay algo que pueda hacer para que parezca que mi configuración se mantiene? Siento que algo está mal cuando la GUI afirma que no he configurado completamente los certificados.
fuente
Respuestas:
Ayer revisé nuestra granja y noté que es Windows 2008 ... La suya es 2012. Estoy seguro de que hay grandes diferencias, pero espero que mi información ayude.
Abriendo MMC -> Certificados -> Cuenta de computadora Veo 2 certificados en la carpeta "personal / Certificados":
El autofirmado muestra un error en los detalles, ¿tiene su certificado el mismo error?
Para resolver este error, simplemente copie y pegue el certificado de la subcarpeta "personal / Certificados" en "Autoridades / certificados de certificación raíz de confianza". Con ese paso, el mismo certificado no da error.
Después de eso, solo hay dos lugares donde configura el certificado (en RDS Windows 2008) que he encontrado.
Nuestro Administrador de RemoteApp muestra:
La configuración de la firma digital:
Y en la 'Configuración de host de sesión de RD, en la configuración de la conexión:
Al final , y si recuerdo correcto, lo resolvimos verificando todas las opciones, el visor de eventos, asegurándonos de que no haya errores de certificado, poblando algunos grupos locales, dándoles acceso por la Política de Seguridad ...
Buena suerte.
---- Actualizado ----
Recuerde importar en el perfil de usuario, la CA emisora o el certificado (si está autofirmado) en las "Autoridades / certificados de certificación raíz de confianza" para que el cliente no haya recibido ningún error de certificado. Este punto fue importante en nuestro sistema.
fuente
Tuve exactamente el mismo problema y encontré la solución. Todo es cómo creó la plantilla de certificado y cómo solicitó el certificado.
Aquí está la solución:
Ejemplo:
CN = rdweb.domain.local
CN = rdcb.domain.local
CN = rdsh1.domain.local
CN = rdsh2.domain.local
CN = rdsh3.domain.local
rdweb.domain.local
rdcb.domain.local
rdsh1.domain.local
rdsh2.domain.local
rdsh3.domain.local
Haces todo eso y Level será Trusted y Status OK
fuente