Com o cliente Microsoft RDP, como faço para marcar um determinado certificado de servidor como confiável?

3

estou usando Cliente Microsoft RDP no Mac OS X, para conectar-se a um servidor Windows. Estou me conectando a um servidor RDC que usa um certificado autoassinado para se identificar. Como consequência, quando me conecto, meu cliente RDC me fornece um diálogo de aviso como este:

The certificate is not from a trusted certification authority (CA)

Eu posso clicar em "Conectar" para continuar, mas não tenho segurança contra ataques man-in-the-middle, porque "Connect" instrui meu cliente a ignorar o certificado do servidor. Eu quero continuar a me conectar, mas de uma maneira segura.

Outra opção é acessar o painel de preferências do cliente RDC da Microsoft:

RDC client preferences pane: Security

e mude para "Sempre conectar, mesmo se a autenticação falhar". Dessa forma, nunca mais mostro o aviso: é como se eu automaticamente clicasse em "Conectar" todas as vezes. No entanto, novamente, isso não é seguro: ele pula a autenticação do servidor e, portanto, é vulnerável a ataques man-in-the-middle.

Eu quero estar seguro. Portanto, nenhuma das duas abordagens acima é satisfatória.

Conceitualmente, o caminho óbvio para a frente é, de alguma forma, obter acesso ao certificado autoassinado do servidor e, em seguida, solicitar ao cliente RDC que o considere como confiável e nunca mais me avisar sobre esse certificado. Isso seria seguro (como SSH). No entanto, não consigo descobrir como fazer com que meu cliente RDC faça isso.

Como faço para que o certificado desse servidor seja tratado como confiável (apesar do fato de ser autoassinado) e o sistema nunca me avise sobre conexões que usam esse certificado específico, mas ainda forneça segurança (por exemplo, avisar-me se o certificado muda)?

D.W.
fonte
Já tentou adicionar o certificado auto-assinado a Applications & gt; Utilities & gt; Keychain Access? Neste artigo sobre o Chrome robpeck.com/2010/10/… o certificado é adicionado ao chaveiro do sistema, este artigo sobre o Microsoft Entourage kb.kerio.com/article/… diz para adicioná-lo ao chaveiro X509Anchors. Você poderia tentar e reportar de volta?
jaume
Eu tentei adicioná-lo ao keychain do sistema, o keychain de logon e o keychain Microsoft_Intermediate_Certificates. Em todos os casos, eu o marquei como "Sempre Confie". Nenhum deles funcionou: continuo recebendo a mensagem de aviso. Não consegui encontrar nenhum outro chaveiro para importá-lo. Obrigado pela ideia, no entanto, @jaume!
D.W.
P.S. Não consegui seguir as instruções para adicionar ao chaveiro X509Anchors. Eu segui as instruções, mas eu não encontrei nenhum X509Anchors Keychain em System & gt; Biblioteca & gt; Keychains em minha máquina do leão de montanha.
D.W.

Respostas:

3

Eu olhei para isso um pouco, e no meu caso, o problema estava no lado do servidor RDP. O certificado que ele estava usando era, na verdade, um código autoassinado, gerado automaticamente, que não foi assinado pelo certificado raiz da CA local. Por isso, não importa onde eu coloquei o certificado raiz, eu sempre tenho o pop-up dizendo "O certificado não é confiável ..."

Eu instalei o certificado raiz do meu CA local no chaveiro do sistema e defini-lo para sempre confiar, em seguida, no lado do Windows Server, usando ferramentas administrativas - & gt; Serviços de área de trabalho remota - & gt; Configuração do Host da Sessão da Área de Trabalho Remota, atualizei o certificado atribuído à conexão RDP-Tcp. Clique com o botão direito do mouse em Conexão RDP-Tcp e selecione Propriedades. Na guia Geral, na parte inferior, há um link chamado "Gerado automaticamente"

(veja uma imagem do painel aqui: http://www.windowsecurity.com/img/upl/image0021281709633474.jpg )

Esse é o certificado autoassinado. Clicar em Selecionar permite escolher qualquer outro certificado já existente na máquina. Depois que essa alteração foi feita, o prompt foi removido do lado do cliente no próximo login.

Espero que isso ajude (embora realmente só ajude se você tiver acesso de administrador no lado do Windows ...)

ChrisH
fonte
0

Adicionando ao chaveiro do sistema, definido como "Sempre confiável", funcionou como um encanto para mim.

maurits
fonte
2
este não funcionou para o OP no entanto.
gentmatt