Utilisation du certificat CA pour la connexion Bureau à distance

22

Je me connecte via le Web à un serveur Windows Server 2012 R2 distant via une connexion Bureau à distance pour les besoins d'administration. Il s'agit d'un seul serveur Web et de base de données sans AD, etc.

Je ne parle pas des services Bureau à distance / Terminal Server, juste de la simple fonctionnalité Bureau à distance activée via Panneau de configuration> Système> Paramètres à distance. Le serveur créera automatiquement un certificat auto-signé pour crypter la connexion et le client Connexion Bureau à distance affichera une erreur de certificat en raison de l'autorité de certification non approuvée.

J'ai un certificat signé par une autorité de certification délivré au nom de domaine complet de ce serveur et valide pour l'authentification du serveur (je l'utilise pour l'accès à distance au serveur MSSQL).

J'aimerais également l'utiliser pour les connexions RDP. Tous les didacticiels (comme cette question ) que j'ai trouvés jusqu'à présent décrivent le processus pour les services Bureau à distance ou le service Terminal Server. J'ai trouvé cette question indiquant une wmiccommande pour définir un certificat, mais je ne veux pas essayer de définir certaines valeurs lorsque je ne sais pas exactement ce que je fais. Ce que j'ai fait, c'est l'ajouter aux certificats de bureau à distance de l'ordinateur local où se trouve également l'auto-signature générée automatiquement.

Est-ce possible? Si oui, que dois-je faire?

Merci!

marce
la source

Réponses:

26

La question que vous avez trouvée qui mentionne l'utilisation de wmicpour définir la valeur de l'empreinte numérique du certificat devrait fonctionner sans installation de fonctionnalité supplémentaire. J'ai posé et répondu à une question similaire ici avec un peu plus de détails. Il possède également un équivalent PowerShell pour la commande wmic. Mais je vais ajouter quelques explications ici aussi.

Puisque vous utilisez déjà ce certificat pour SSL MSSQL, je suppose qu'il est déjà installé dans l'un des magasins de certificats du système. Si vous l'avez installé dans le contexte d'un compte de service sous lequel MSSQL s'exécute, vous devrez peut-être également l'installer dans le magasin de bureau personnel ou distant pour «l'ordinateur local».
entrez la description de l'image ici

Une fois qu'il est là, il vous suffit de mettre à jour la SSLCertificateSHA1Hashvaleur Win32_TSGeneralSettingpour pointer vers elle en utilisant l'une des commandes de ma question précédente .

Si vous souhaitez vérifier la valeur actuelle de la valeur et la comparer au certificat auto-signé, vous pouvez modifier la wmiccommande comme suit. Vous pouvez également l'utiliser pour valider que la nouvelle valeur d'empreinte numérique que vous avez essayé de définir est correcte.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

La sortie devrait ressembler à ceci:
entrez la description de l'image ici

Ryan Bolger
la source
2
Merci! qui a fonctionné comme je le charme, je ne sais pas pourquoi je n'ai pas trouvé votre q / a d'origine en premier lieu. Je n'ai pas assez de représentants pour voter, mais je le garderai dans l'arriéré jusqu'à ce qu'il fonctionne.
marce
Au moins sur Windows 7, il n'est pas nécessaire de déplacer le certificat vers le magasin «Bureau à distance». Le magasin de certificats "personnels" fonctionne très bien.
André Borie
De quelle application est cette capture d'écran, avec l'icône de la boîte à outils rouge en haut à gauche?
Kyle Humfeld
C'est juste le standard Windows mmc.exe (Microsoft Management Console) qui est une application hôte générique pour un tas de mini-applications écrites avec les mêmes constructions d'interface utilisateur appelées composants logiciels enfichables. Le composant logiciel enfichable chargé dans la capture d'écran est le composant logiciel enfichable Certificats.
Ryan Bolger
2

Les guides faisant référence aux services Bureau à distance / services Terminal Server s'appliquent également à un serveur qui exécute simplement le service RDP par défaut - il s'agit simplement d'une instance plus limitée du même service.

Ce que vous pourriez manquer dans ces guides, ce sont les outils pour administrer le service - vous voudrez installer les outils d'administration de rôle pour les services Bureau à distance pour pouvoir gérer le service.

Install-WindowsFeature -Name RSAT-RDS-Tools
Shane Madden
la source
1
Comme il s'agit de 2012R2, il pourrait également utiliser les commandets Powershell pour gérer ses certificats. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate, etc. Il ne devrait pas avoir besoin des outils d'administration de rôle pour le configurer via PowerShell.
Zoredache
@Zoredache Merci pour votre conseil. J'ai essayé un simple Get-RDCertificatepour commencer, mais j'ai eu l'erreur suivante: A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.J'ai donc peur d'installer au moins quelque chose, non? Dois-je continuer avec les fonctionnalités proposées par @ShaneMadden?
marce
Hrm, je ne l'avais pas vraiment essayé. Je viens d'essayer de l'exécuter sur le serveur 2012R2 que j'ai entièrement configuré en tant que services de bureau à des fins de test. J'ai eu la même erreur, alors maintenant je suis confus, car cela aurait certainement dû fonctionner.
Zoredache
@Zoredache Donc ce n'est pas moi au moins ... Eh bien, je vais essayer avec le Install-WindowsFeature -Name RSAT-RDS-Toolssuivant et faire rapport.
marce
1
@ShaneMadden Vous pointez dans la bonne direction, mais en fait, l'ensemble du package est requis. Vous pourriez peut-être mettre à jour votre réponse pour refléter cela pour ceux qui viendront.
marce