¿Dónde se almacena mi certificado de servidor RDP?

23

Dados los problemas recientes de los ataques Man-in-the-Middle, presté atención a la advertencia que recibí al conectarme a un servidor:

ingrese la descripción de la imagen aquí

Al seleccionar Ver certificado , iba a verificar la SHA1 huella digital :

Publicado a : corsair
Publicado por : corsair
Válido de : 9/5/2013 a 3/7/2014
Thumbprint (SHA1):‎e9 c5 d7 17 95 95 fd ba 09 88 37 d8 9f 49 5e b8 02 ac 2b e2

y asegúrese de que coincida con lo que hay en el servidor. Me conecté de todos modos, luego usando certmgr.msc, busqué el certificado (es decir, "Emitido para corsario" ):

ingrese la descripción de la imagen aquí

Ahí está, el único en la máquina. Pero espera, esa no es la misma clave:

ingrese la descripción de la imagen aquí

El certificado que se me presenta a través de RDP es diferente al del servidor:

Publicado a : corsair
Publicado por : corsair
Válido desde : 06/04/2013 a 8/7/3012
Thumbprint (SHA1):‎c5 b4 12 0d f6 4f b3 e7 a8 59 cd 4d e4 0e cb 5b 18 a1 42 92

O ya existe un Man-in-the-Middle, que sustituye los certificados falsos por conexiones RDP, o el certificado que presenta el servidor RDP no está visible en certmgr.msc.

Suponiendo que no tengo CSIS monitoreando mi LAN (que no sea de dominio): ¿dónde puedo encontrar el certificado que RDP presentará a los clientes conectados?

Servidor: Windows Server 2012 Standard

Nota : También se aplica a Windows 8. También podría aplicarse a Windows 7 y versiones anteriores, y Windows Server 2008 R2 y versiones anteriores. Porque aunque, en este momento, me estoy conectando a un servidor; También me conecto a mi PC de escritorio con Windows 7 desde Internet, y quiero validar que estoy viendo mi escritorio real.

Palabras clave : ¿Cómo cambiar mi certificado SSL de conexión a escritorio remoto de Windows 8? ¿Cómo especificar mi certificado de Escritorio remoto?

Ian Boyd
fuente
1. ¿Está utilizando su propio servidor de CA de dominio para crear el certificado SSL o está obteniendo su SSL de una Autoridad de certificación como Verisign? 2. ¿Es el certificado que está mostrando en la imagen 6mB6G.png de un cliente o servidor?
Sam Stephenson
1
@SamStephenson Está en el servidor. Es el certificado que el servidor decidió crear para dejarme remoto; no lo creé, le pedí que lo creara, le pedí a alguien más que lo creara, o que alguien más lo cree. RDP al servidor y aparece la advertencia.
Ian Boyd

Respuestas:

27

En Windows 10

  1. Busque certlm.mscen el menú Inicio o con Windows key+ R.
  2. Haga clic en la carpeta 'Escritorio remoto' y luego en 'Certificados' . Allí encontrará el certificado que esta computadora presenta a sus clientes RDP.

En Windows 7

  1. Lanzamiento mmc.exe(como administrador).
  2. 'Archivo' -> 'Agregar / Eliminar complemento ...' .
  3. Seleccione 'Certificados' en la lista 'Complementos disponibles' y haga clic en 'Agregar>' .
  4. Aparece una nueva ventana titulada 'Complemento de certificados' donde puede elegir entre 'Mi cuenta de usuario', 'Cuenta de servicio' y 'Cuenta de computadora'. Elija 'Cuenta de computadora', haga clic en 'Siguiente', luego 'Finalizar' y finalmente 'Aceptar'.
  5. En la carpeta 'Console Root' ahora tiene 'Certificados (computadora local)'.
  6. Haga clic en la carpeta 'Escritorio remoto' y luego en 'Certificados' . Allí encontrará el certificado que esta computadora presenta a sus clientes RDP.

Luego puede guardar esta vista de consola para acceder fácilmente en 'Archivo' -> 'Guardar'.

2072
fuente
La carpeta REMOTE DESKTOP, ¡nunca la había visto antes! Seguí buscando en Personal y por eso no pude encontrarlo. ¡Buena atrapada!
Mister_Tom
gracias, funcionó perfectamente para mí :) Solo que la huella digital en esa ventana de certificado tiene 2 dígitos más al principio ... raro ~
Tarulia
¡Excelente! No noté que certmgr.mscsolo muestra certificados para el usuario actual, incluso si se ejecuta como administrador.
Franklin Yu el
2
Windows 10 parece venir con un atajo C:\Windows\System32\certlm.msc. Como System32está en $PATH, podemos buscar certlm.mscen el menú Inicio.
Franklin Yu
Gracias, he editado mi respuesta con su solución
2072
3

Esto se responde aquí :

( El servicio de configuración de escritorio remoto ) [...] creó el certificado. Hacerlo genera un mensaje de registro de eventos:

Log Name:     System
Source:       Microsoft-Windows-TerminalServices-RemoteConnectionManager 
....
Description: A new self signed certificate to be used for Terminal Server 
authentication on SSL connections was generated. The name on this certificate
is servername.domain.com . The SHA1 hash of the certificate is in the event
data.

Ir a eventvwr.msc, mirar hacia arriba por los acontecimientos TerminalServices-RemoteConnectionManageren Systemy obtendrá todos los diferentes momentos en que el servicio RDP (re) creó su clave de servidor, junto con el hash SHA-1 de cada tecla.

Dan
fuente
1
Es extraño que Microsoft oculte información útil detrás de un inicio de sesión, así que gracias por compartir eso con el resto de nosotros. En mi máquina con Windows 7, el nombre por el que desea filtrar eventos es "TerminalServices-RemoteConnectionManager". Si ya ha eliminado esa entrada del registro de eventos, siempre puede cambiar el nombre de la máquina para forzar un nuevo certificado y un mensaje de registro de eventos.
Ed Norris