如何解决远程桌面服务中的证书配置问题？

Question

我正在设置远程桌面服务场，但在配置要使用的证书时遇到问题。可以在步骤 #4 中找到我所看到的问题的演示。

在这一点上，我确信用户界面存在问题，并正在寻找解决方法。有没有办法在远程桌面服务中配置证书，以便设置保留并反映在 GUI 中？如果没有，我有什么方法可以验证设置是否正确？

步骤 #1 - 创建要使用的证书。

我已经配置了一个证书以用于 RD Web 访问。该证书存储在我的 RD 连接代理上的证书 MMC 中，我正在从该计算机配置场。

通过让 RD Web Access 生成自己的证书，我发现需要以下属性：

• 增强的密钥使用
  • 服务器认证
  • 客户端认证
    • 这可能不是必需的，但自签名证书包含它。
• 密钥用法
  • 电子签名
  • 密钥协议
• 主题备用名称
  • DNS 名称=domain.com

关于自签名证书生成的绕道

作为快速绕行，我能够解决使用 powershell 创建自签名证书的问题。New-RDCertificate cmdlet的文档提供了以下示例：

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

将它输入到 shell 中将导致一条错误消息，声称Get-Server无法找到某个函数。在使用之前New-RDCertificate，您必须使用Import-Module RemoteDesktop.

第 2 步 - 观察开箱即用的行为

第一次通过导航到服务器管理器 -> 远程桌面服务 -> 集合并从“COLLECTIONS”分组的“任务”下拉列表中选择“编辑部署属性”来访问“部署属性”对话框时，您将看到以下屏幕：

此窗口具有误导性，因为该level字段被列为“未配置”。如果我理解正确，所有三个角色服务都使用自签名证书。对于 RD Web 访问角色，可以通过访问以下网站进行验证：

正在使用的证书也出现在证书 MMC 中：

第 3 步 - 分配新证书

部署属性对话框将允许我选择我现有的证书。证书必须放置在本地计算机证书 MMC 中的“个人”证书存储区中。私钥需要可以导出，并且您需要提供密码。我暂时将我的证书导出到一个以temp.pfx密码命名的文件中，然后从那里将其导入到远程桌面服务中。

完成此操作后，GUI 将指示已准备好接受新配置。

单击“应用”按钮后，GUI 指示成功。

这可以通过再次访问 RD Web Access 网站进行验证。没有证书错误。

第 4 步 - GUI 无法保持其状态

如果关闭并重新打开 GUI，所有这些设置似乎都丢失了。

其实我配置的证书还在用。我能够继续访问 RD Web Access 站点而不会出现任何证书错误。

奇怪的是，如果我使用“创建新证书...”按钮生成自签名证书，此窗口将更新为“不受信任”级别。然后将通过打开和关闭“部署属性”对话框来维护此设置。

有什么我可以做的让我的设置看起来保持不变吗？当 GUI 声称我没有完全配置证书时，我觉得有些不对劲。

Answer 1

我昨天检查了我们的农场，注意到这是 Windows 2008...你的是 2012。我确信存在很大差异，但我希望我的信息有所帮助。

打开 MMC -> 证书 -> 计算机帐户 我在“个人/证书”文件夹中看到 2 个证书：

• 自签名证书（同一颁发者和主题）
• 由我们的域 CA 颁发的证书

自签名的详细信息有错误，您的证书也有同样的错误吗？

要解决此错误，只需将证书从“个人/证书”子文件夹复制并粘贴到“受信任的根证书颁发机构/证书”即可。通过该步骤，相同的证书不会给出错误。

之后，我发现只有两个地方可以配置证书（在 RDS Windows 2008 中）。

我们的 RemoteApp 管理器显示：

数字签名设置：

在“RD 会话主机配置”的连接设置中：

最后，如果我没记错的话，我们解决了这个问题，检查所有选项、事件查看器，确保没有证书错误，填充一些本地组，通过安全策略授予他们访问权限......

祝你好运。

- - 更新 - -

请记住在“受信任的根证书颁发机构/证书”中导入用户配置文件、颁发者 CA 或证书（如果是自签名），这样客户端就不会收到任何证书错误。这一点在我们的系统中很重要。