Criando um certificado autoassinado e confiando nele para o Windows RDP (sem domínio)

2

Posso usar o Windows RDP para controlar remotamente meu PC doméstico (por meio de uma VPN), mas sempre recebo este aviso:

aviso de certificado RDP do Windows

Preciso gerar manualmente um certificado autoassinado e instalá-lo?

Ou isso já aconteceu e posso confiar no que já está fornecendo?

"Não me solicite novamente as conexões com este computador" faz isso? Ou apenas verifica o nome e ignora a verificação do certificado?

Ainda quero usar o certificado autoassinado para verificação. Eu só quero que meu laptop confie no certificado autoassinado.

Estou no windows 10.

Tom Jenkinson
fonte

Respostas:

7

Existem pelo menos três soluções para esta caixa de diálogo:

  1. Marque a Don't ask me again for connections to this computer caixa de seleção
  2. Instale o certificado usado pela máquina remota na Trusted Root Certification Authoritiesloja da máquina local
  3. Use um certificado assinado por alguém em quem ambos os computadores confiam

A primeira opção é o que a maioria das pessoas faz e é perfeitamente bom fazer isso. Ele não instala o certificado ou confia nele completamente, mas lembra-se de confiar neste certificado apenas para uma conexão RDP e apenas no computador com o nome do host usado.

Ele cria uma nova chave de registro em:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers\Computer-1

com um Certhashvalor que tenha a impressão digital do certificado.

Se você excluir essa chave, a caixa de diálogo será exibida novamente.

Essa exceção é apenas para o usuário atual; outro usuário na mesma máquina precisa fazer a mesma coisa.

A segunda opção é realmente confiar no certificado autoassinado. Você deve iniciar o Remote Desktop Connectionadministrador como elevado, clicar no View certificatebotão e, na próxima página, no Install Certificate...botão. Selecione Local Machinee Browse.... Use a Trusted Root Certification Authoritiesloja e conclua o processo de importação.

Usando esta opção, qualquer usuário do computador pode fazer o RDP na máquina remota sem ver a caixa de diálogo, mas agora você adicionou uma nova CA ao seu computador, o que geralmente não é a melhor ideia e deve ser evitado. Se alguém invadir o computador remoto, ele poderá se apossar desse certificado e usar sua confiança nele para outros fins. O certificado RDP autoassinado é apenas para autenticação do servidor, não pode ser usado para assinar outros certificados, mas você nunca sabe.

Ao habilitar o RDP no computador remoto, o Windows cria esse certificado autoassinado automaticamente, mas geralmente é válido apenas por seis meses; portanto, após seis meses, é necessário repetir a opção um ou dois.

Com a opção três, você pode obter certificados válidos por mais tempo, mas exige que você tenha sua própria CA ou use uma pública.

Eu ficaria com a opção 1

Peter Hahndorf
fonte
Obrigado, sim, posso confirmar que está nesse local no registro. Também tentei instalar o certificado da maneira que você sugeriu e, embora não houvesse erros, ele parecia funcionar, embora não funcionasse. Eu não estava funcionando como administrador, o que provavelmente explica isso! Se eu quisesse, acho que poderia criar um certificado autoassinado com um tempo de validade maior para a opção 3?
precisa
Sim, acho que você pode criar o seu próprio e instalá-lo no computador remoto e no local. Eu sempre uso minha própria CA, por isso não fiz muito com certificados autoassinados.
Peter Hahndorf
Depois de aceitar a opção 1, não é basicamente impossível alguém executar um ataque MITM?
Trognanders
2

Selecionar 'yes' e marcar a caixa 'Don't askme again ...' aceitarão o certificado autoassinado e não solicitarão a aprovação do certificado novamente.

Então sim - um certificado foi gerado para você, é perfeitamente bom continuar usando-o neste cenário de uso e você não precisa fazer mais nada.

Para uso pessoal como esse, não é necessário buscar um certificado 'real' assinado por uma CA, mas as opiniões (e os níveis de paranóia) variam. Está ficando mais barato e fácil obter certificados legítimos (veja criptografar), mas é um pouco difícil usá-los ainda para o RDP.

Uma observação: se você estiver se conectando a este computador pelo mesmo link VPN do mesmo computador remoto e optou por confiar no certificado e em 'não me mostrar novamente', mas em algum momento no futuro você será solicitado novamente, é aí que você deve estar um pouco preocupado. É assim que um homem no meio do ataque se apresenta.

Você pode visualizar os certificados de máquinas remotas nas quais você confiou, devido implicitamente à emissão de trusts de uma autoridade de certificação da CA ou explicitamente como no caso desse certificado rdp, usando o plug-in cert mmc descrito aqui

Argonautas
fonte
Obrigado, então minha próxima pergunta é onde está o certificado armazenado quando eu marcar essa caixa? Eu fiz isso e parece funcionar, mas estou me perguntando onde esse certificado agora está salvo no meu laptop.
precisa
"Computador local -> Área de trabalho remota -> Certificados" mostra alguns certificados que são emitidos para o meu laptop a partir dele. Não deveria haver um emitido para o meu laptop pelo meu computador aqui?
21816 Tom Jenkinson