Estou configurando um farm de Serviços de Área de Trabalho Remota e estou tendo problemas para configurar certificados para uso. Uma demonstração do problema que estou vendo pode ser encontrada na Etapa 4.
Neste ponto, estou convencido de que há problemas com a interface do usuário e estou procurando maneiras de contorná-las. Existe alguma maneira de configurar certificados nos Serviços de Área de Trabalho Remota para que as configurações permaneçam e sejam refletidas na GUI? Caso contrário, existe alguma maneira de verificar se as configurações estão corretas?
Etapa 1 - Crie o certificado a ser usado.
Eu configurei um certificado para usar com o RD Web Access. O certificado é armazenado no MMC de Certificados no meu RD Connection Broker e estou configurando o farm nesse computador.
Descobri ao permitir que o RD Web Access gere seu próprio certificado que as seguintes propriedades são necessárias:
- Uso aprimorado de chave
- Autenticação de servidor
- Autenticação de cliente
- Isso pode não ser necessário, mas o certificado autoassinado o inclui.
- Uso principal
- Assinatura digital
- Contrato-chave
- Nome alternativo do assunto
- Nome DNS = domain.com
Desvio sobre geração de certificado autoassinado
Como um desvio rápido, pude solucionar um problema com a criação de certificados autoassinados usando o PowerShell. A documentação para o cmdlet New-RDCertificate fornece o seguinte exemplo:
PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"
Digitar isso no shell resultará em uma mensagem de erro alegando que uma função Get-Servernão pode ser encontrada. Antes de usar New-RDCertificate, você deve importar o Módulo RemoteDesktop com Import-Module RemoteDesktop.
Etapa 2 - Observar o comportamento pronto para uso
Na primeira vez em que você visitar a caixa de diálogo Propriedades de Implantação, navegue para Gerenciador do Servidor -> Serviços de Área de Trabalho Remota -> Coleções e selecione "Editar Propriedades de Implantação" na lista suspensa "TAREFAS" no agrupamento "COLEÇÕES", a seguinte tela será exibida. :
Essa janela é enganosa porque o levelcampo está listado como "Não configurado". Se eu entendi corretamente, todos os três serviços de função estão usando um certificado autoassinado. Para a função RD Web Access, isso pode ser verificado visitando o site:
O certificado que está sendo usado também aparece no MMC de Certificados:
Etapa 3 - Atribuir novo certificado
A caixa de diálogo Propriedades de Implantação me permitirá selecionar meu certificado existente. O certificado deve ser colocado nos MMC de Certificados dos computadores locais no repositório de certificados "Pessoal". A chave privada precisará ser exportável e você precisará fornecer a senha. Exportei temporariamente meu certificado para um arquivo nomeado temp.pfxcom uma senha e depois o importei para os Serviços de Área de Trabalho Remota a partir daí.
Uma vez feito isso, a GUI indicará que está pronta para aceitar a nova configuração.
Depois de clicar no botão "Aplicar", a GUI indica sucesso.
Isso pode ser verificado visitando o site RD Web Access pela segunda vez. Não há erro de certificado.
Etapa 4 - A GUI falha em manter seu estado
Se a GUI for fechada e reaberta, todas essas configurações parecerão perdidas.
Na verdade, o certificado que eu configurei ainda está sendo usado. Consigo continuar acessando o site RD Web Access sem erros de certificado.
Estranhamente, se eu usar o botão "Criar novo certificado ..." para gerar um certificado autoassinado, essa janela será atualizada para um nível "Não confiável". Essa configuração será mantida através da abertura e fechamento da caixa de diálogo Propriedades de Implantação.
Há algo que eu possa fazer para que minhas configurações pareçam estar fixas? Sinto que algo está errado quando a GUI afirma que não tenho certificados totalmente configurados.
fonte
Respostas:
Verifiquei nossa fazenda ontem e notei que é o Windows 2008 ... O seu é 2012. Tenho certeza de que há grandes diferenças, mas espero que minhas informações ajudem.
Abrindo o MMC -> Certificados -> conta de computador, vejo 2 certificados na pasta "pessoal / Certificados":
O autoassinado mostra um erro nos detalhes. Seu certificado tem o mesmo erro?
Para resolver esse erro, basta copiar e colar o certificado da subpasta "pessoal / Certificados" para "Autoridades / Certificados de Certificação Raiz Confiáveis". Com essa etapa, o mesmo certificado não dá erro.
Depois disso, existem apenas dois lugares onde você configura o certificado (no RDS Windows 2008) que eu encontrei.
Nosso RemoteApp Manager mostra:
As configurações de assinatura digital:
E na 'Configuração do host da sessão RD, nas configurações da conexão:
No final , e se bem me lembro, resolvemos verificar todas as opções, o visualizador de eventos, certificando-se de que não há erros de certificado, preenchendo alguns grupos locais, dando-lhes acesso pela Política de Segurança ...
Boa sorte.
---- Atualizada ----
Lembre-se de importar no perfil do usuário, na CA do emissor ou no certificado (se for autoassinado) nas "Autoridades / Certificados de certificação raiz confiáveis" para que o cliente não tenha recebido nenhum erro de certificado. Este ponto foi importante em nosso sistema.
fonte
Eu tive o mesmo problema exato e encontrei a correção. É tudo como você criou o modelo de certificado e solicitou o certificado.
Aqui está a correção:
Exemplo:
CN = rdweb.domain.local
CN = rdcb.domain.local
CN = rdsh1.domínio.local
CN = rdsh2.domínio.local
CN = rdsh3.domínio.local
rdweb.domain.local
rdcb.domain.local
rdsh1.domain.local
rdsh2.domain.local
rdsh3.domain.local
Você faz tudo isso e o nível será Confiável e o status OK
fonte