リモートデスクトップサービスの証明書構成に関する問題を回避するにはどうすればよいですか?


32

リモートデスクトップサービスファームをセットアップしていますが、使用する証明書の構成に問題があります。私が見ている問題のデモンストレーションは、ステップ4にあります。

この時点で、ユーザーインターフェイスに問題があると確信しており、それらを回避する方法を探しています。リモートデスクトップサービスで証明書を構成して、設定を保持してGUIに反映する方法はありますか?そうでない場合、設定が正しいことを確認する方法はありますか?

ステップ#1-使用する証明書を作成します。

RD Webアクセスで使用する証明書を構成しました。証明書はRD接続ブローカーの証明書MMCに保存され、そのコンピューターからファームを構成しています。 証明書

RD Webアクセスに独自の証明書を生成させることで、次のプロパティが必要であることがわかりました。

  • 強化されたキー使用法
    • サーバー認証
    • クライアント認証
      • これは必須ではありませんが、自己署名証明書には含まれています。
  • キーの使用法
    • デジタル署名
    • キー契約
  • サブジェクトの別名
    • DNS Name = domain.com

自己署名証明書の生成に関する迂回

手っ取り早い方法として、powershellを使用して自己署名証明書を作成する際の問題を回避することができました。New-RDCertificateコマンドレットのドキュメントには、次の例があります。

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

これをシェルに入力すると、関数Get-Serverが見つからないというエラーメッセージが表示されます。使用する前にNew-RDCertificate、でRemoteDesktop Moduleをインポートする必要がありますImport-Module RemoteDesktop

ステップ#2-すぐに使用できる動作を観察する

[サーバーマネージャー]-> [リモートデスクトップサービス]-> [コレクション]に移動し、[コレクション]グループの[タスク]ドロップダウンリストから[展開プロパティの編集]を選択して[展開プロパティ]ダイアログボックスに初めてアクセスすると、次の画面が表示されます: ここに画像の説明を入力してください

levelフィールドが「未構成」としてリストされているため、このウィンドウは誤解を招きます。正しく理解できれば、3つの役割サービスすべてが自己署名証明書を使用しています。RD Webアクセスロールの場合、これはWebサイトにアクセスして確認できます。 証明書エラー

使用されている証明書は、証明書MMCにも表示されます。 RD Webアクセス証明書を示す証明書MMC

ステップ#3-新しい証明書を割り当てる

[展開のプロパティ]ダイアログボックスで、既存の証明書を選択できます。証明書は、「個人」証明書ストアのローカルコンピューター証明書MMC内に配置する必要があります。秘密鍵はエクスポート可能である必要があり、パスワードを提供する必要があります。証明書をtemp.pfxパスワード付きのファイルに一時的にエクスポートし、そこからリモートデスクトップサービスにインポートしました。

これが完了すると、GUIは新しい構成を受け入れる準備ができたことを示します。 証明書を受け入れる準備ができています

[適用]ボタンをクリックすると、GUIに成功が示されます。 ここに画像の説明を入力してください

これは、RD WebアクセスWebサイトにもう一度アクセスすることで確認できます。証明書エラーはありません。 ここに画像の説明を入力してください

ステップ#4-GUIはその状態を維持できません

GUIを閉じて再度開くと、これらの設定はすべて失われたように見えます。 設定が失われます

実際、構成した証明書はまだ使用されています。証明書エラーなしでRD Webアクセスサイトにアクセスし続けることができます。

奇妙なことに、「新しい証明書を作成...」ボタンを使用して自己署名証明書を生成すると、このウィンドウは「信頼できない」レベルに更新されます。この設定は、[展開プロパティ]ダイアログボックスの開閉を通じて維持されます。

自分の設定が固まっているように見せるためにできることはありますか?GUIが証明書を完全に構成していないと主張するとき、何かが間違っているように感じます。


7
これは非常によく考えられた質問です。称賛。
ライアンリース

素晴らしい質問; より+ 1つのを割り当てることはできませんあまりにも悪い... Doがテストするためにラボを持っていますが、いくつかの良いリンクが見つかりません:technet.microsoft.com/en-us/library/cc730805.aspxをtechnet.microsoft.com/en-us/library/cc725949.aspx youtube.com/watch?v=D6UBsuCuJs8およびrivald.blogspot.com/2011/06/…また、blog.kristinlgriffin.com / 2010/07
リズ

マイケルはまだ幸運ですか?
リズ

@Lizz RD Webアクセスの役割サービスに使用している証明書がクライアントに受け入れられていることがわかります。ユーザーインターフェイスは、指定した証明書を実際に使用している場合でも、「未構成」を報告し続けます。
マイケルスティール

あなたのぼかしが好きです。伝統的な種類ではありません。
StackExchangeユーザー

回答:


2

昨日、私たちの農場をチェックして、それがWindows 2008であることに気づきました。あなたのものは2012年です。大きな違いがあると確信しています。

MMCを開く->証明書->コンピューターアカウント「個人/証明書」フォルダーに2つの証明書が表示されます。

  • 自己署名証明書(同じ発行者とサブジェクト)
  • ドメインCAによって発行された証明書

自己署名の詳細にエラーが表示されますが、証明書にも同じエラーがありますか? エラー

このエラーを解決するには、証明書を「個人/証明書」サブフォルダーから「信頼されたルート証明機関/証明書」にコピーして貼り付けます。そのステップでは、同じ証明書でエラーは発生しません。 OK証明書

その後、私が見つけた(RDS Windows 2008で)証明書を構成する場所は2つだけです。

RemoteAppマネージャーには以下が表示されます。 メイン

デジタル署名の設定: DSS

また、「RDセッションホスト構成」の接続の設定: RDSHC

最後に、私が正しいことを覚えている場合、すべてのオプション、イベントビューア、証明書エラーがないことを確認し、いくつかのローカルグループにデータを入力し、セキュリティポリシーによるアクセスを許可することを解決しました...

がんばろう。

- - 更新しました - -

クライアントが証明書エラーを取得しないように、「信頼されたルート証明機関/証明書」のユーザープロファイル、発行者CA、または証明書(自己署名の場合)をインポートすることを忘れないでください。この点は私たちのシステムで重要でした。


情報のおかげで。独自のCAによって署名された証明書を使用しています。私が抱えている問題は、Windows Server 2012に固有のものです。GUIは、証明書が正しく構成されていないか、まったく構成されていないと主張しています。
マイケルスティール

2

私はまったく同じ問題を抱えていて、修正を見つけました。証明書テンプレートを作成し、証明書を要求する方法がすべてです。
修正方法は次のとおりです。

  1. コンピューターテンプレートを複製して証明書テンプレートを作成する
  2. 新しい証明書とこれら2つの重要なMODを編集します2a。秘密キーのエクスポートを許可する2b。[サブジェクト名]タブで、[リクエストで供給する]ラジオボタンを選択します
  3. 新しいテンプレートを公開する
  4. 新しいリクエストを作成し、新しいテンプレートを選択します
  5. RDWebの共通名とDNSを追加します。(すべてのRDファームサーバーを追加しました)

例:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. rdweb.domain.localをフレンドリ名に追加してから、証明書を生成します
  2. プライベートで証明書をエクスポートする
  3. RD展開コンソールにインポートします。

あなたはそれをすべて行い、レベルは信頼され、ステータスはOKになります

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.