Comment puis-je contourner des problèmes de configuration de certificat dans les services Bureau à distance?

32

Je suis en train de configurer une batterie de serveurs Remote Desktop Services et je ne parviens pas à configurer les certificats à utiliser. Vous trouverez une démonstration du problème rencontré à l’étape 4.

À ce stade, je suis convaincu qu'il existe des problèmes avec l'interface utilisateur et je cherche des solutions pour les résoudre. Existe-t-il un moyen de configurer des certificats dans les services de bureau à distance pour que les paramètres soient conservés et reflétés dans l'interface graphique? Sinon, est-il possible pour moi de vérifier que les paramètres sont corrects?

Étape n ° 1 - Créer un certificat à utiliser.

J'ai configuré un certificat à utiliser avec RD Web Access. Le certificat est stocké dans la console MMC Certificats de mon agent de connexion RD et je configure la batterie à partir de cet ordinateur. certificat

J'ai trouvé en laissant RD Web Access générer son propre certificat que les propriétés suivantes sont requises:

  • Utilisation améliorée des clés
    • Authentification du serveur
    • Authentification du client
      • Cela n'est peut-être pas obligatoire, mais le certificat auto-signé l'inclut.
  • Utilisation clé
    • Signature numérique
    • Accord clé
  • Sujet Nom alternatif
    • Nom DNS = domaine.com

Détour sur la génération de certificats auto-signés

Pour faire un détour rapide, j’ai pu résoudre un problème de création de certificats auto-signés à l’aide de powershell. La documentation de la cmdlet New-RDCertificate donne l'exemple suivant:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

En tapant ceci dans le shell, vous obtiendrez un message d'erreur indiquant qu'une fonction Get-Serverest introuvable. Avant d'utiliser New-RDCertificate, vous devez importer le module RemoteDesktop avec Import-Module RemoteDesktop.

Étape n ° 2 - Observez le comportement prêt à l'emploi

La première fois que vous visitez la boîte de dialogue Propriétés de déploiement en accédant au Gestionnaire de serveur -> Services de bureau à distance -> Collections et en sélectionnant "Modifier les propriétés de déploiement" dans la liste déroulante "Tâches" du groupe "Collections", l'écran suivant s'affiche. : entrez la description de l'image ici

Cette fenêtre est trompeuse car le levelchamp est répertorié comme "Non configuré". Si je comprends bien, les trois services de rôle utilisent un certificat auto-signé. Pour le rôle d'accès Web aux services Bureau à distance, vous pouvez vérifier cela en visitant le site Web: erreur de certificat

Le certificat utilisé apparaît également dans la MMC Certificats: certificats MMC affichant le certificat d'accès Web au bureau à distance

Étape 3 - Attribuer un nouveau certificat

La boîte de dialogue Propriétés de déploiement me permettra de sélectionner mon certificat existant. Le certificat doit être placé dans les ordinateurs locaux Certificats MMC dans le magasin de certificats "Personnel". La clé privée devra être exportable et vous devrez fournir le mot de passe. J'ai temporairement exporté mon certificat dans un fichier nommé temp.pfxavec un mot de passe, puis importé à partir de là dans les services de bureau à distance.

Une fois cette opération effectuée, l'interface graphique indiquera qu'elle est prête à accepter la nouvelle configuration. prêt à accepter le certificat

Une fois que je clique sur le bouton "Appliquer", l'interface graphique indique le succès. entrez la description de l'image ici

Cela peut être vérifié en visitant le site Web Accès Web RD pour une deuxième fois. Il n'y a pas d'erreur de certificat. entrez la description de l'image ici

Étape n ° 4 - L'interface graphique ne parvient pas à maintenir son état

Si l'interface graphique est fermée et rouverte, tous ces paramètres semblent être perdus. les réglages sont perdus

En fait, le certificat que j'ai configuré est toujours utilisé. Je peux continuer à accéder au site d'accès Web de RD sans aucune erreur de certificat.

Bizarrement, si j'utilise le bouton "Créer un nouveau certificat ..." pour générer un certificat auto-signé, cette fenêtre sera mise à jour à un niveau "Non approuvé". Ce paramètre sera ensuite conservé lors de l'ouverture et de la fermeture de la boîte de dialogue Propriétés de déploiement.

Y a-t-il quelque chose que je puisse faire pour que mes paramètres semblent coller? J'ai l'impression que quelque chose ne va pas lorsque l'interface graphique affirme que je n'ai pas entièrement configuré les certificats.

Michael Steele
la source
7
C'est une question très bien pensée. Gloire.
Ryan Ries
Excellente question; trop mal, je ne peux pas assigner plus de +1. Ne pas avoir de laboratoire pour tester mais trouvé de bons liens: technet.microsoft.com/en-us/library/cc730805.aspx . technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 et rivald.blogspot.com/2011/06/… Également: blog.kristinlgriffin.com/2010/07/…
Lizz
Encore de la chance, Michael?
Lizz
@Lizz Autant que je sache, le certificat que nous utilisons pour le service de rôle Accès Web RD est accepté par les clients. L'interface utilisateur continue de signaler "Non configuré" même s'il utilise en réalité le certificat que j'ai spécifié.
Michael Steele
Comme ton flou. Pas le genre traditionnel.
Utilisateur StackExchange, le

Réponses:

2

J'ai vérifié notre ferme hier et j'ai remarqué qu'il s'agissait de Windows 2008 ... Le vôtre date de 2012. Je suis sûr qu'il existe de grandes différences, mais j'espère que mes informations m'aideront.

Ouverture de MMC -> Certificats -> Compte d'ordinateur Je vois 2 certificats dans le dossier "Personnel / Certificats":

  • Certificat auto-signé (même émetteur et sujet)
  • Certificat délivré par notre domaine CA

L'auto-signé indique une erreur dans les détails, votre certificat a-t-il la même erreur? Erreur

Pour résoudre cette erreur, il suffit de copier et coller le certificat du sous-dossier "personal / Certificates" dans "Autorités de certification racines de confiance / Certificats". Avec cette étape, le même certificat ne donne aucune erreur. Certificat OK

Ensuite, vous ne pouvez configurer le certificat (dans RDS Windows 2008) que deux fois.

Notre gestionnaire RemoteApp montre: Principale

Les paramètres de signature numérique: DSS

Et dans la configuration de l'hôte de session Bureau à distance, dans les paramètres de la connexion: RDSHC

À la fin , et si je me souviens bien, nous avons résolu le problème en vérifiant toutes les options, l'observateur d'événements, en veillant à ce qu'il n'y ait pas d'erreur de certificat, en remplissant certains groupes locaux, en leur donnant accès conformément à la politique de sécurité ...

Bonne chance.

---- Mis à jour ----

N'oubliez pas d'importer dans le profil utilisateur, l'autorité de certification de l'émetteur ou le certificat (s'il est auto-signé) dans "Autorités de certification racines de confiance / Certificats" afin que le client ne reçoive aucune erreur de certificat. Ce point était important dans notre système.

Carlos Garcia
la source
Merci pour l'information. Nous utilisons des certificats signés par notre propre autorité de certification. Le problème que je rencontre est unique à Windows Server 2012. L’interface graphique affirme que les certificats ne sont pas configurés correctement, voire pas du tout.
Michael Steele
2

J'ai eu exactement le même problème et j'ai trouvé le correctif. Tout se passe comme vous avez créé le modèle de certificat et demandé le certificat.
Voici le correctif:

  1. Créez un modèle de certificat en dupliquant le modèle Ordinateur.
  2. Éditez le nouveau certificat et ces deux importants mods 2a. Autoriser l'exportation de clé privée 2b. Dans l'onglet Nom du sujet, sélectionnez le bouton radio "Fournir dans la demande".
  3. Publier le nouveau modèle
  4. Créer une nouvelle demande et sélectionner le nouveau modèle
  5. Ajoutez un nom commun et DNS pour le RDWeb. (J'ai ajouté tous les serveurs de la batterie de serveurs RD)

Exemple:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Ajoutez rdweb.domain.local au nom convivial, puis générez le certificat.
  2. Exporter le cert avec privé
  3. Importer dans la console de déploiement de RD.

Vous faites tout cela et Level sera Trusted et Status OK

Todd Ouimet
la source