web-dev-qa-db-ja.com

リモートデスクトップサービスの証明書構成に関する問題を回避するにはどうすればよいですか?

リモートデスクトップサービスファームをセットアップしていますが、使用する証明書の構成に問題があります。私が見ている問題のデモンストレーションは、ステップ4にあります。

この時点で、ユーザーインターフェイスに問題があると確信しており、その回避策を模索しています。設定が保持され、GUIに反映されるように、リモートデスクトップサービスで証明書を構成する方法はありますか?そうでない場合、設定が正しいことを確認する方法はありますか?

ステップ#1-使用する証明書を作成します。

RD Webアクセスで使用する証明書を構成しました。証明書はRD接続ブローカーの証明書MMCに保存されており、そのコンピューターからファームを構成しています。 certificate

RD Webアクセスに独自の証明書を生成させると、次のプロパティが必要であることがわかりました。

  • 強化されたキー使用法
    • サーバー認証
    • クライアント認証
      • これは必須ではないかもしれませんが、自己署名証明書には含まれています。
  • キーの用途
    • デジタル署名
    • 重要な合意
  • サブジェクトの別名
    • DNS名= domain.com

自己署名証明書の生成に関する迂回

簡単な回り道として、Powershellを使用して自己署名証明書を作成する際の問題を回避することができました。 New-RDCertificate コマンドレットのドキュメントには、次の例が示されています。

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

これをシェルに入力すると、関数Get-Serverが見つからないというエラーメッセージが表示されます。 New-RDCertificateを使用する前に、Import-Module RemoteDesktopを使用してRemoteDesktopモジュールをインポートする必要があります。

ステップ#2-すぐに使える動作を観察する

サーバーマネージャー->リモートデスクトップサービス->コレクションに移動し、[コレクション]グループの[タスク]ドロップダウンリストから[展開プロパティの編集]を選択して、初めて[展開プロパティ]ダイアログボックスにアクセスすると、次の画面が表示されます。 : enter image description here

levelフィールドが「未構成」と表示されているため、このウィンドウは誤解を招く可能性があります。私が正しく理解していれば、3つの役割サービスすべてが自己署名証明書を使用しています。 RD Webアクセスの役割の場合、これはWebサイトにアクセスして確認できます。 certificate error

使用されている証明書は、証明書MMCにも表示されます。 certificates MMC showing the RD Web Access certificate

ステップ#3-新しい証明書を割り当てる

[展開のプロパティ]ダイアログボックスでは、既存の証明書を選択できます。証明書は、「個人」証明書ストアのローカルコンピュータの証明書MMC内に配置する必要があります。秘密鍵はエクスポート可能である必要があり、パスワードを提供する必要があります。証明書をtemp.pfxという名前のファイルにパスワード付きで一時的にエクスポートし、そこからリモートデスクトップサービスにインポートしました。

これが完了すると、GUIは新しい構成を受け入れる準備ができていることを示します。 ready to accept certificate

「適用」ボタンをクリックすると、GUIは成功を示します。 enter image description here

これは、RD WebアクセスのWebサイトに再度アクセスして確認できます。証明書エラーはありません。 enter image description here

ステップ#4-GUIがその状態を維持できない

GUIを閉じて再度開くと、これらの設定はすべて失われたように見えます。 settings are lost

実際、私が設定した証明書はまだ使用されています。証明書エラーなしでRD Webアクセスサイトに引き続きアクセスできます。

奇妙なことに、「新しい証明書を作成...」ボタンを使用して自己署名証明書を生成すると、このウィンドウは「信頼できない」レベルに更新されます。この設定は、[展開のプロパティ]ダイアログボックスを開いたり閉じたりしても維持されます。

設定が固定されているように見せるために何かできることはありますか?証明書を完全に構成していないとGUIが主張すると、何かがおかしいと感じます。

ssl-certificateremote-desktopcertificatewindows-server-2012remote-desktop-services
32
Michael Steele

昨日私たちの農場をチェックしたところ、それがWindows 2008であることに気付きました。あなたのものは2012年です。大きな違いがあると確信していますが、私の情報が役に立てば幸いです。

MMC-> Certificates-> Computer accountを開くと、「personal/Certificates」フォルダに2つの証明書が表示されます。

  • 自己署名証明書(同じ発行者がサブジェクト)
  • ドメインCAが発行した証明書

自己署名の詳細にエラーが表示されますが、証明書にも同じエラーがありますか? Error

このエラーを解決するには、証明書を「個人/証明書」サブフォルダから「信頼されたルート証明機関/証明書」にコピーして貼り付けます。この手順では、同じ証明書でエラーは発生しません。 OK Certificate

その後、私が見つけた(RDS Windows 2008で)証明書を構成する場所は2つだけです。

私たちのRemoteAppマネージャーは以下を示します: Main

デジタル署名の設定: DSS

そして、「RDセッションホストの構成」の接続の設定: RDSHC

最後に、そして私が正しいことを覚えている場合は、すべてのオプションをチェックし、イベントビューアを確認し、証明書エラーがないことを確認し、一部のローカルグループに入力して、セキュリティポリシーによるアクセスを許可します...

幸運を。

- - 更新しました - -

「信頼されたルート証明機関/証明書」のユーザープロファイル、発行者CA、または証明書(自己署名されている場合)にインポートして、クライアントが証明書エラーを受け取らないようにしてください。この点は私たちのシステムでは重要でした。

2
Carlos Garcia

私はまったく同じ問題を抱えていて、修正を見つけました。証明書テンプレートを作成して証明書を要求する方法は、これですべてです。
これが修正です:

  1. コンピュータテンプレートを複製して、証明書テンプレートを作成します
  2. 新しい証明書とこれら2つの重要な変更2aを編集します。秘密鍵のエクスポートを許可する2b。 [Subject Name]タブで、[Supply in the request]ラジオボタンを選択します
  3. 新しいテンプレートを公開する
  4. 新しいリクエストを作成し、新しいテンプレートを選択します
  5. RDWebの共通名とDNSを追加します。 (すべてのRDファームサーバーを追加しました)

例:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. フレンドリ名にrdweb.domain.localを追加して、証明書を生成します
  2. プライベートで証明書をエクスポートする
  3. RDデプロイメントコンソールにインポートします。

あなたはそれをすべて行い、レベルは信頼され、ステータスはOKになります

2
Todd Ouimet