web-dev-qa-db-ja.com

SBS 2011でRDPの証明書を更新する方法

おそらく私は間違った手順を実行しています(私はWindowsサーバーの専門家ではありません)。

私たちのサーバーは、SBS 2011のRDPに128 SHA1自己署名証明書を使用していました。証明書の有効期限が切れています。 IIS 7サーバー証明書から新しい証明書の作成に進みました。[自己署名証明書の作成]オプションを選択しました。

次に、リモートデスクトップセッションホストの構成に移動し、RDP-Tcpを右クリックして、RDP-Tcpプロパティから生成された証明書を選択しました。

RDPを適用して再度テストした後、「このCAルート証明書は信頼されていません。信頼を有効にするには...」という警告が表示されます。

私はRDPを確立できますが、不満はそこにあります。

どうすれば修正できますか?

3
Carlos

Windows Small Business Serverで証明書を更新または追加する正しい方法(自己署名またはパブリックCAによる署名)は、Windows SBSコンソールの[ネットワークを修正する]ウィザードを使用することです。ウィザードは2つのことを行います。

  • 有効期限が切れた自己署名証明書を使用している場合は、更新されます
  • Exchange、リモートWebアクセス、リモートデスクトップセッションブローカーなど、証明書を使用するサーバー上のさまざまなサービスに既存の証明書を正しく(再)インストールしますこれらのサービスのSBSサーバーで手動で。

ネットワークの修正ウィザードを実行して、次のように証明書を修正します。

  1. Windows SBS Consoleを起動します。
  2. 上部のネットワークアイコンをクリックし、Connectivityタブをクリックします。
  3. 右側のペインで、Fix my networkをクリックします
  4. 複数の問題が検出された場合は、という名前の問題を修正する必要があります自己発行の証明書が期限切れです

さて、あなたの場合、すでに手動で証明書を更新しているため、ウィザードは修正する期限切れの証明書を見つけられない場合があります。その場合は、次のようにSBSコンソールから更新済みの証明書を再インストールします。

  1. Windows SBS Consoleを起動します。
  2. 上部のネットワークアイコンをクリックし、Connectivityタブをクリックします。
  3. 右側のペインで、をクリックします信頼された証明書を追加します
  4. ウィザードが起動したら、Nextをクリックします
  5. Get the certificate画面でを選択しますサーバーに既にインストールされている証明書を使用します次にをクリックします次へ
  6. リストから正しい証明書を選択し、をクリックします次へ
  7. ウィザードは証明書をインストールします。完了したらFinishをクリックします。

これがあなたの問題を解決することを私が期待する方法

コメントに基づいて、サーバーでRDPを使用するすべてのマシンがドメインに参加しています。したがって、SBSコンソールによってインストールされた証明書をすべて信頼する必要があります。非ドメインワークステーションのみが、SBSサーバーで使用中の自己署名証明書を信頼するために追加のアクションを実行する必要があります。つまり、提供された証明書インストールパッケージを使用して、非ドメインマシンを構成し、信頼されたルート証明書ストアに証明書を追加します。

適切に信頼された証明書を取得するには、次の2つのいずれかを行う必要があります。

  1. 有料プロバイダーまたはLetsEncryptプロジェクトから公開証明書を取得する
  2. 内部で使用するCAを作成する

Let's Encryptは素晴らしいプロジェクトですが、ドメインの所有権を確認するには、インターネットからサーバーに開かれたHTTPが必要です。

内部CAの作成は、「Active Directory証明書サービス」の役割をサーバーに追加することで実行できます。通常、ドメインコントローラーにCAをインストールすることはお勧めしませんが、SBSにインストールすることをお勧めします。

https://technet.Microsoft.com/en-us/library/cc731183(v = ws.11).aspx

これを1回限りの単一サーバー修正として修正する3番目の方法は、一致する適切な名前の自己署名証明書を生成することです。次に、証明書のコピーをプルし、接続しているすべてのコンピューターの信頼されたルート証明機関に配置する必要があります。これは、必要に応じてGPOを介して行うことができます。

2
Cory Knutson