estou usando Cliente Microsoft RDP no Mac OS X, para conectar-se a um servidor Windows. Estou me conectando a um servidor RDC que usa um certificado autoassinado para se identificar. Como consequência, quando me conecto, meu cliente RDC me fornece um diálogo de aviso como este:
Eu posso clicar em "Conectar" para continuar, mas não tenho segurança contra ataques man-in-the-middle, porque "Connect" instrui meu cliente a ignorar o certificado do servidor. Eu quero continuar a me conectar, mas de uma maneira segura.
Outra opção é acessar o painel de preferências do cliente RDC da Microsoft:
e mude para "Sempre conectar, mesmo se a autenticação falhar". Dessa forma, nunca mais mostro o aviso: é como se eu automaticamente clicasse em "Conectar" todas as vezes. No entanto, novamente, isso não é seguro: ele pula a autenticação do servidor e, portanto, é vulnerável a ataques man-in-the-middle.
Eu quero estar seguro. Portanto, nenhuma das duas abordagens acima é satisfatória.
Conceitualmente, o caminho óbvio para a frente é, de alguma forma, obter acesso ao certificado autoassinado do servidor e, em seguida, solicitar ao cliente RDC que o considere como confiável e nunca mais me avisar sobre esse certificado. Isso seria seguro (como SSH). No entanto, não consigo descobrir como fazer com que meu cliente RDC faça isso.
Como faço para que o certificado desse servidor seja tratado como confiável (apesar do fato de ser autoassinado) e o sistema nunca me avise sobre conexões que usam esse certificado específico, mas ainda forneça segurança (por exemplo, avisar-me se o certificado muda)?
fonte
Respostas:
Eu olhei para isso um pouco, e no meu caso, o problema estava no lado do servidor RDP. O certificado que ele estava usando era, na verdade, um código autoassinado, gerado automaticamente, que não foi assinado pelo certificado raiz da CA local. Por isso, não importa onde eu coloquei o certificado raiz, eu sempre tenho o pop-up dizendo "O certificado não é confiável ..."
Eu instalei o certificado raiz do meu CA local no chaveiro do sistema e defini-lo para sempre confiar, em seguida, no lado do Windows Server, usando ferramentas administrativas - & gt; Serviços de área de trabalho remota - & gt; Configuração do Host da Sessão da Área de Trabalho Remota, atualizei o certificado atribuído à conexão RDP-Tcp. Clique com o botão direito do mouse em Conexão RDP-Tcp e selecione Propriedades. Na guia Geral, na parte inferior, há um link chamado "Gerado automaticamente"
(veja uma imagem do painel aqui: http://www.windowsecurity.com/img/upl/image0021281709633474.jpg )
Esse é o certificado autoassinado. Clicar em Selecionar permite escolher qualquer outro certificado já existente na máquina. Depois que essa alteração foi feita, o prompt foi removido do lado do cliente no próximo login.
Espero que isso ajude (embora realmente só ajude se você tiver acesso de administrador no lado do Windows ...)
fonte
Adicionando ao chaveiro do sistema, definido como "Sempre confiável", funcionou como um encanto para mim.
fonte