У овом ћемо чланку показати како користити поуздане ССЛ / ТЛС цертификате за заштиту РДП веза с Виндовс рачунаром и послужитељима у домену Ацтиве Дирецтори. Користићемо ове сертификате уместо самоподписаних РДП сертификата (корисници добијају упозорење да аутентификација није могућа приликом повезивања на РДП хост са таквим сертификатом). У овом примеру конфигуришемо посебан образац за издавање РДП сертификата у Цертифицате Аутхорити и конфигуришемо групну политику да аутоматски издаје и везује ССЛ / ТЛС сертификат за услуге удаљене радне површине.
Садржај:
- Упозорење РДП сертификата о сопственом потпису
- Креирајте предложак РДП сертификата у сертификационом ауторитету (ЦА)
- Конфигуришите смернице групе за издавање РДП сертификата
- Потписујемо РДП датотеку и додамо отисак отиска поузданог РДП сертификата
Упозорење РДП сертификата о сопственом потпису
Виндовс подразумевано генерише сесију са сопственим потписом да би заштитио РДП сесију.
сертификат. Као резултат, при првом повезивању са РДП / РДС сервером преко мстсц.еке клијента, појављује се упозорење за корисника:
Удаљени рачунар није могао да се потврди идентитетом због проблема са безбедносним сертификатом. Грешка у сертификату: Потврду издаје непоуздано тело за сертификате.
Да би наставио успостављање РДП везе, корисник мора кликнути Да. Да бисте спречили да се РДП упозорење појављује сваки пут, можете да омогућите опцију „Немојте ме више питати за повезивање са овим рачунаром“.
У том случају се отисак прста РДП сертификата чува на клијенту у параметру ЦертХасх у огранку регистра са историјом РДП веза (ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Терминал Сервер Цлиент \ Серверс \). Ако сте сакрили обавештење о немогућности провере аутентичности РДП сервера за ресетовање поставки, из регистра избришите кључ са отиском прста сертификата..
Иако се за везу користи самопотписани цертификат, ваша РДП веза је сигурна и саобраћај је шифрован..Креирајте предложак РДП сертификата у сертификационом ауторитету (ЦА)
Покушајмо користити поуздани ССЛ / ТЛС цертификат издат од стране корпоративног цертификата за заштиту РДП веза. Помоћу овог сертификата корисник може потврдити идентитет РДП сервера приликом повезивања. Претпоставимо да сте већ увели Мицрософтов ауторитет за сертификате у свом домену и у том случају можете конфигурисати аутоматско издавање и повезивање сертификата на све Виндовс рачунаре и сервере у домену.
Н на вашем ЦА-у морате да креирате нови тип шаблона сертификата за РДП / РДС сервере.
- Покрените конзолу цертификата и идите на одељак Предлошци сертификата;
- Направите копију предлошка рачунарског сертификата (Предлошци сертификата -> Управљање -> Рачунар -> Дупликат);
- Картица Генерале наведите назив за нови образац цертификата - РДПТемплате. Проверите вредност поља Назив предлошка потпуно се подудара са Приказивачко име предлошка;
- Картица Компатибилност Наведите минималну верзију клијената у вашем домену (на пример, Виндовс Сервер 2008 Р2 за ЦА и Виндовс 7 за клијенте). Тако ће се користити робуснији алгоритми за шифровање;
- Сада картицу Ектенсионс у правилима о апликацији морате да ограничите опсег употребе таквог сертификата само на Удаљена провјера аутентичности радне површине (одредите следећи идентификатор објекта - 1.3.6.1.4.1.311.54.1.2) Кликните на Додај -> Ново, креирајте нову политику и изаберите је;
- У подешавањима предлошка цертификата (Проширење смерница апликација) избришите све смернице осим Удаљена провјера аутентичности радне површине;
- Да бисте користили овај предложак РДП сертификата на контролерима домена, отворите картицу Сигурност, додај групу Контроле домена и омогућите опцију за то Упис и Аутоматска регистрација;
- Сачувајте образац сертификата;
- Сада у прикључку Цертифицате Аутхорити (Сертификат ауторитета), кликните на мапу Темплатес (Предлошци сертификата), одаберите Ново -> Предложак цертификата за издавање -> одаберите креирани предложак РДПТемплате.
Конфигуришите смернице групе за издавање РДП сертификата
Сада морате да конфигуришете смерницу домена која ће аутоматски доделити РДП сертификат рачунарима / серверима у складу са конфигурисаним шаблоном.
Претпоставља се да сви рачунари из домене верују корпоративном ауторитету за сертификацију, тј. ГПО роот сертификат је додан поверљивим ауторитетима сертификата за роот.- Отворите конзолу за управљање полисама групе гпмц.мсц, направите нови ГПО и додијелите га ОУ-у са РДП / РДС серверима или рачунарима за које морате аутоматски издати ТЛС цертификате да бисте заштитили РДП везе;
- Идите на ГПО: Конфигурација рачунара -> Политике -> Административни предлошци -> Компоненте Виндовс -> Услуге удаљене радне површине -> Домаћин сесије на удаљеној радној површини -> Сигурност. Омогући политику Предложак сертификата сертификата сервера. Наведите назив предлошка за ЦА који сте креирали раније (РДПТемплате);
- Затим у истом одељку за ГПО омогућите полису Захтијева употребу одређеног сигурносног слоја за даљинске (РДП) везе и подесите на ССЛ
- Да бисте аутоматски обновили РДП сертификат, идите на одељак ГПО одељак Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања безбедности -> Политике јавног кључа и омогућите смернице Клијент услуга цертификата - Својства аутоматског уписа. Изаберите опције „Обнови цертификате којима је истекао рок трајања, ажурира потврде на чекању и уклони опозване цертификате“ и „Ажурирај сертификате који користе предлошке сертификата“;
- Ако желите да клијенти увек потврђују РДП сертификат сервера, морате да конфигуришете смернице Конфигуришите аутентификацију за клијента = Упозорите ме ако аутентификација не успе (одељак Конфигурација рачунара ГПО -> Политике -> Административни предлошци -> Компоненте Виндовс -> Подешавања удаљене радне површине -> Клијент за повезивање са удаљеном радном површином);
- Ако је потребно, долазни РДП порт ТЦП / УДП 3389 можете отворити кроз политике заштитног зида;
- Остаје да ажурирате смернице на клијенту, покренете конзолу сертификата рачунара (Цертлм.мсц) и проверите да ли се сертификат за Ауторизацију на удаљеној радној површини који је издао ваш ЦА појављује у одељку Лично -> Сертификати. Ако се смернице не примењују, помоћу дијагностике ГПО користите овај програм и овај чланак.
Да бисте применили нови РДП сертификат, поново покрените услуге удаљене радне површине:
Гет-Сервице ТермСервице -ЦомпутерНаме мск-дц01 | Рестарт-Сервице -форце -вербосе
Сада, када је РДП повезан са сервером, сертификат о поверењу престаће да се појављује (тако да се појави захтев за поверење сертификата, повежите се на сервер помоћу ИП адресе уместо ФКДН имена сервера за који је сертификат издат). Кликните на дугме „Прикажи сертификат“, идите на картицу „Састав“, копирајте вредност поља „Отисак сертификата“.
Такође можете да се налазите на конзоли за ауторитет за потврђивање у одељку Издаје потврде проверите да ли је сертификат издат за одређени Виндовс рачунар / сервер користећи предложак РДПТемплате. Такође проверите вредност Тхумбпринт сертификата:
Сада упоредите податке са отиском прста сертификата који користи Служба за удаљену радну површину. Вредност отиска прста РДС сертификата можете видети у регистру (огранку) ХКЛМ: \ СИСТЕМ \ ЦуррентЦонтролСет \ Цонтрол \ Терминал Сервер \ ВинСтатион, параметар ТемплатеЦертифицате) или са наредбом ПоверСхелл: Гет-ВмиОбјецт -Цласс "Вин32_ТСГенералСеттинг" -Намеспаце роот \ цимв2 \ терминалсервицес | одаберите ССЛЦертифицатеСХА1Хасх
Када повежете на удаљену таблицу било који сервер или рачунар који је погођен овом политиком, нећете видети упозорење о непоузданом РДП сертификату.
Потписујемо РДП датотеку и додамо отисак отиска поузданог РДП сертификата
Ако немате ЦА, али желите да спречите кориснике да примају упозорења приликом повезивања на РДП / РДС сервер, можете да додате сертификат поузданим корисницима на рачунарима.
Као што је горе описано, узмите вредност Тхумбпринт РДП сертификата:
Гет-ВмиОбјецт -Цласс "Вин32_ТСГенералСеттинг" -Намеспаце роот \ цимв2 \ терминалсервицес | одаберите | одаберите ССЛЦертифицатеСХА1Хасх
Овим отиском прста потпишите .РДП датотеку РДПСигн.еке:
рдпсигн.еке / сха256 65А27Б2987702281Ц1ФААЦ26Д155Д78ДЕБ2Б8ЕЕ2 "Ц: \ Корисници \ роот \ Десктоп \ рдп.рдп"
Сада кроз ГПО додајте овај отисак сертификата поузданим корисницима. Наведите отиске прстију (раздвојене зарезима) у полису Наведите отиске прстију СХА1 цертификата који представљају поуздане издаваче .рдп (Наведите отиске прстију СХА1 цертификата који представљају поуздане РДП издаваче) у оквиру Конфигурација рачунара -> Политике -> Административни предлошци -> Компоненте Виндовс -> Подешавања удаљене радне површине -> Клијент за повезивање са удаљеном радном површином.
Да би транспарентни РДП улаз без лозинке (РДП Сингле Сигн Он) радио, потребно је да конфигуришете политику поверљивости поверљивих података Дозволи делегирање и одредите имена РДП / РДС сервера у њој (види чланак).