Uso del certificado de CA para la conexión de escritorio remoto

Me estoy conectando a través de la web a un Windows Server 2012 R2 remoto a través de Remote Desktop Connection para las necesidades de administración. Es un servidor web y de base de datos único sin AD, etc.

No estoy hablando de Servicios de escritorio remoto / Terminal Server, solo de la simple función de Escritorio remoto activada a través del Panel de control> Sistema> Configuración remota. El servidor creará automáticamente un certificado autofirmado para cifrar la conexión y el cliente de Conexión a Escritorio remoto mostrará un error de certificado debido a la CA no confiable.

Tengo un certificado firmado por CA emitido al FQDN de este servidor y válido para la autenticación del servidor (lo estoy usando para el acceso remoto del servidor MSSQL).

Me gustaría usar ese también para conexiones RDP. Todos los tutoriales (como esta pregunta ) que he encontrado hasta ahora describen el proceso para los Servicios de escritorio remoto o el Servicio de terminal. He encontrado esta pregunta indicando un wmiccomando para establecer un certificado, pero no quiero intentar establecer algunos valores cuando no sé qué estoy haciendo exactamente. Lo que he hecho es agregarlo a los Certificados de escritorio remoto de la computadora local donde también se encuentra el autofirmado generado automáticamente.

¿Es eso posible? En caso afirmativo, ¿qué tengo que hacer?

¡Gracias!

ssl-certificate remote-desktop rdp windows windows-server-2012-r2 marce
fuente

Respuestas:

La pregunta que encontró que menciona usar wmicpara establecer el valor de huella digital del certificado debería funcionar sin ninguna instalación de características adicionales. Pregunté y respondí una pregunta similar aquí con un poco más de detalle. También tiene un equivalente de PowerShell para el comando wmic. Pero agregaré más explicaciones aquí también.

Dado que ya está utilizando este certificado para MSSQL SSL, supongo que ya está instalado en uno de los almacenes de certificados del sistema. Si lo instaló en el contexto de una cuenta de servicio en la que MSSQL se está ejecutando, es posible que también deba instalarlo en la tienda de escritorio personal o remoto para el "equipo local".
ingrese la descripción de la imagen aquí

Una vez que está allí, solo necesita actualizar el SSLCertificateSHA1Hashvalor Win32_TSGeneralSettingpara señalarlo usando uno de los comandos en mi pregunta anterior .

Si desea verificar cuál es el valor actualmente configurado y compararlo con el certificado autofirmado, puede cambiar el wmiccomando a lo siguiente. También puede usar esto para validar que el nuevo valor de huella digital que intentó establecer es correcto.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

La salida debería verse así:
ingrese la descripción de la imagen aquí

Ryan Bolger
fuente

¡Gracias! funcionó como me encanta, no sé por qué no he encontrado tu q / a original en primer lugar. No tengo suficiente representante para votar, pero lo mantendré en la cartera hasta que funcione.

marce

Al menos en Windows 7 no es necesario mover el certificado a la tienda "Escritorio remoto". La tienda de certificados "personal" funciona bien.

André Borie

¿De qué aplicación es esa captura de pantalla, con el icono rojo de la caja de herramientas en la esquina superior izquierda?

Kyle Humfeld

Es solo el Windows mmc.exe estándar (Microsoft Management Console), que es una aplicación de host genérica para un grupo de mini aplicaciones escritas con las mismas construcciones de interfaz de usuario llamadas complementos. El complemento cargado en la captura de pantalla es el complemento Certificados.

Ryan Bolger

Las guías que se refieren a Servicios de escritorio remoto / Servicios de terminal también se aplican a un servidor que solo ejecuta el servicio RDP predeterminado: es solo una instancia más limitada del mismo servicio.

Lo que puede faltar en esas guías son las herramientas para administrar el servicio: querrá instalar las herramientas de administración de roles para que los Servicios de escritorio remoto puedan administrar el servicio.

Install-WindowsFeature -Name RSAT-RDS-Tools

Shane Madden
fuente

Como se trata de 2012R2, también podría usar los Commandlets de Powershell para administrar sus certificados. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate, etc. No debería necesitar las herramientas de administrador de roles para configurarlo a través de powershell.

Zoredache

@ Zoredache Gracias por su sugerencia. Traté Get-RDCertificatede comenzar de manera simple, pero obtuve el siguiente error:

A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.

así que me temo que tengo que instalar al menos algo, ¿verdad? ¿Debo continuar con las características sugeridas por @ShaneMadden?

marce

Hrm, en realidad no lo había intentado. Acabo de intentar ejecutarlo en el servidor 2012R2 que configuré completamente como Servicios de escritorio para fines de prueba. Obtuve el mismo error, así que ahora estoy confundido, ya que ciertamente debería haber funcionado.

Zoredache

@ Zoredache Entonces no soy yo al menos ... Bueno, lo intentaré con el Install-WindowsFeature -Name RSAT-RDS-Toolssiguiente e informaré de nuevo.

marce

@ShaneMadden Está apuntando en la dirección correcta, pero en realidad se requiere todo el paquete. Tal vez podría actualizar su respuesta para reflejar eso para aquellos que vendrán.

marce