Como posso solucionar problemas com a configuração de certificado nos Serviços de Área de Trabalho Remota?

32

Estou configurando um farm de Serviços de Área de Trabalho Remota e estou tendo problemas para configurar certificados para uso. Uma demonstração do problema que estou vendo pode ser encontrada na Etapa 4.

Neste ponto, estou convencido de que há problemas com a interface do usuário e estou procurando maneiras de contorná-las. Existe alguma maneira de configurar certificados nos Serviços de Área de Trabalho Remota para que as configurações permaneçam e sejam refletidas na GUI? Caso contrário, existe alguma maneira de verificar se as configurações estão corretas?

Etapa 1 - Crie o certificado a ser usado.

Eu configurei um certificado para usar com o RD Web Access. O certificado é armazenado no MMC de Certificados no meu RD Connection Broker e estou configurando o farm nesse computador. certificado

Descobri ao permitir que o RD Web Access gere seu próprio certificado que as seguintes propriedades são necessárias:

  • Uso aprimorado de chave
    • Autenticação de servidor
    • Autenticação de cliente
      • Isso pode não ser necessário, mas o certificado autoassinado o inclui.
  • Uso principal
    • Assinatura digital
    • Contrato-chave
  • Nome alternativo do assunto
    • Nome DNS = domain.com

Desvio sobre geração de certificado autoassinado

Como um desvio rápido, pude solucionar um problema com a criação de certificados autoassinados usando o PowerShell. A documentação para o cmdlet New-RDCertificate fornece o seguinte exemplo:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

Digitar isso no shell resultará em uma mensagem de erro alegando que uma função Get-Servernão pode ser encontrada. Antes de usar New-RDCertificate, você deve importar o Módulo RemoteDesktop com Import-Module RemoteDesktop.

Etapa 2 - Observar o comportamento pronto para uso

Na primeira vez em que você visitar a caixa de diálogo Propriedades de Implantação, navegue para Gerenciador do Servidor -> Serviços de Área de Trabalho Remota -> Coleções e selecione "Editar Propriedades de Implantação" na lista suspensa "TAREFAS" no agrupamento "COLEÇÕES", a seguinte tela será exibida. : insira a descrição da imagem aqui

Essa janela é enganosa porque o levelcampo está listado como "Não configurado". Se eu entendi corretamente, todos os três serviços de função estão usando um certificado autoassinado. Para a função RD Web Access, isso pode ser verificado visitando o site: erro de certificado

O certificado que está sendo usado também aparece no MMC de Certificados: certificados MMC mostrando o certificado RD Web Access

Etapa 3 - Atribuir novo certificado

A caixa de diálogo Propriedades de Implantação me permitirá selecionar meu certificado existente. O certificado deve ser colocado nos MMC de Certificados dos computadores locais no repositório de certificados "Pessoal". A chave privada precisará ser exportável e você precisará fornecer a senha. Exportei temporariamente meu certificado para um arquivo nomeado temp.pfxcom uma senha e depois o importei para os Serviços de Área de Trabalho Remota a partir daí.

Uma vez feito isso, a GUI indicará que está pronta para aceitar a nova configuração. pronto para aceitar certificado

Depois de clicar no botão "Aplicar", a GUI indica sucesso. insira a descrição da imagem aqui

Isso pode ser verificado visitando o site RD Web Access pela segunda vez. Não há erro de certificado. insira a descrição da imagem aqui

Etapa 4 - A GUI falha em manter seu estado

Se a GUI for fechada e reaberta, todas essas configurações parecerão perdidas. configurações são perdidas

Na verdade, o certificado que eu configurei ainda está sendo usado. Consigo continuar acessando o site RD Web Access sem erros de certificado.

Estranhamente, se eu usar o botão "Criar novo certificado ..." para gerar um certificado autoassinado, essa janela será atualizada para um nível "Não confiável". Essa configuração será mantida através da abertura e fechamento da caixa de diálogo Propriedades de Implantação.

Há algo que eu possa fazer para que minhas configurações pareçam estar fixas? Sinto que algo está errado quando a GUI afirma que não tenho certificados totalmente configurados.

Michael Steele
fonte
7
Esta é uma pergunta muito bem pensada. Parabéns.
Ryan Ries
Excelente pergunta; Pena que não é possível atribuir mais +1. Não há laboratório para testes, mas encontrei alguns links bons: technet.microsoft.com/en-us/library/cc730805.aspx . technet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8 e rivald.blogspot.com/2011/06/… Também: blog.kristinlgriffin.com/2010/07/…
Lizz
Alguma sorte ainda, Michael?
Lizz
@Lizz Tanto quanto posso dizer, o certificado que estamos usando para o serviço de função RD Web Access está sendo aceito pelos clientes. A interface do usuário continua relatando "Não configurado", mesmo usando o certificado especificado.
Michael Steele
Como seu borrão. Não é do tipo tradicional.
Usuário StackExchange

Respostas:

2

Verifiquei nossa fazenda ontem e notei que é o Windows 2008 ... O seu é 2012. Tenho certeza de que há grandes diferenças, mas espero que minhas informações ajudem.

Abrindo o MMC -> Certificados -> conta de computador, vejo 2 certificados na pasta "pessoal / Certificados":

  • Certificado autoassinado (mesmo emissor e sujeito)
  • Certificado emitido pela nossa CA de domínio

O autoassinado mostra um erro nos detalhes. Seu certificado tem o mesmo erro? Erro

Para resolver esse erro, basta copiar e colar o certificado da subpasta "pessoal / Certificados" para "Autoridades / Certificados de Certificação Raiz Confiáveis". Com essa etapa, o mesmo certificado não dá erro. Certificado OK

Depois disso, existem apenas dois lugares onde você configura o certificado (no RDS Windows 2008) que eu encontrei.

Nosso RemoteApp Manager mostra: a Principal

As configurações de assinatura digital: DSS

E na 'Configuração do host da sessão RD, nas configurações da conexão: RDSHC

No final , e se bem me lembro, resolvemos verificar todas as opções, o visualizador de eventos, certificando-se de que não há erros de certificado, preenchendo alguns grupos locais, dando-lhes acesso pela Política de Segurança ...

Boa sorte.

---- Atualizada ----

Lembre-se de importar no perfil do usuário, na CA do emissor ou no certificado (se for autoassinado) nas "Autoridades / Certificados de certificação raiz confiáveis" para que o cliente não tenha recebido nenhum erro de certificado. Este ponto foi importante em nosso sistema.

Carlos Garcia
fonte
Obrigado pela informação. Estamos usando certificados assinados por nossa própria CA. O problema que estou enfrentando é exclusivo do Windows Server 2012. A GUI alega que os certificados não estão configurados corretamente ou sequer.
Michael Steele
2

Eu tive o mesmo problema exato e encontrei a correção. É tudo como você criou o modelo de certificado e solicitou o certificado.
Aqui está a correção:

  1. Crie um modelo de certificado duplicando o modelo do computador
  2. Edite o novo certificado e esses dois mods importantes 2a. Permitir chave privada de exportação 2b. Na guia Nome do assunto, selecione o botão de opção "Fornecer na solicitação"
  3. Publique o novo modelo
  4. Crie uma nova solicitação e selecione o novo modelo
  5. Adicione nome comum e DNS para o RDWeb. (Adicionei todos os servidores RD Farm)

Exemplo:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domínio.local

CN = rdsh2.domínio.local

CN = rdsh3.domínio.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Adicione rdweb.domain.local ao nome amigável e gere o certificado
  2. Exportar o certificado com particular
  3. Importe para o console de implantação RD.

Você faz tudo isso e o nível será Confiável e o status OK

Todd Ouimet
fonte