web-dev-qa-db-ja.com

Windows Server 2008RDP-TCP証明書は自動生成に戻り続けます

サーバーは定期的にPCIコンプライアンススキャンを受けており、RDP用にポート3389を開いているWindows2008サーバーマシンがあります。 SSLで保護されていますが、テストで次のように示されているため、スキャンに失敗しています。

 SOLUTION:
 Please install a server certificate signed by a trusted third-party Certificate Authority.
 RESULT:
 Certificate #0 unable to get local issuer certificate

私の知る限り、失敗する理由は、ターミナルサービス構成ツールで、GeoTrustから取得した証明書ではなく、ローカルで作成された証明書を使用しているためです。そこで、ウィザードを開くと、証明書が「自動生成」であると表示されます。 [選択]ボタンをクリックし、GeoTrustから発行されたものに変更し、[OK]をクリックしてすべてを保存します( スクリーンショット )。ただし、その後、RDPセッションを切断して再接続し、「自動生成」に戻します。 MMCローカルコンピューター証明書スナップインから証明書を削除しようとしましたが、RDPを介して再接続するたびに、それ自体が再作成され続けます。これらを通過することで、スキャンに「合格」できます。 RDPで再度ログインする前に、モーションとスキャンの再実行を行いますが、これらのスキャンは毎月実行されるため、これは永続的な解決策とは言えません。

信頼できるCASSSL証明書を永続的に保持する方法を誰かが理解するのを手伝ってもらえますか?

前もって感謝します。

2
Jorin

残念ながら、誰も助けられず、対処しなければならない時期が来たので、もう少し遊んで、最終的にはうまくいくように見えるものを見つけたので、誰かに役立つ場合に備えてここに投稿しますそうしないと。

リモート接続は、信頼できるSSL証明書の名前ではなく、サーバーのIPアドレスに直接接続していました。そのため、リモート接続設定を変更して、IPアドレスではなく信頼できる名前に接続すると、正常に機能しました。私の想定では、IPアドレスに直接接続すると、RDP-TCPマネージャーは一致する証明書を探し、見つからない場合は、デフォルトで自動生成された証明書に戻ります(見つからない場合)。存在する場合は、再作成します)。そのため、サードパーティの信頼できる証明書に設定し、その証明書のFQDNを使用して接続すると、そのままの状態になります。

これで、スキャンはフラグなしで合格し、準備が整いました。

1
Jorin

これが古いスレッドであることはわかっていますが、IISにインポートしたときにSSL証明書を「エクスポート可能」にすることで、RDPホスト構成マネージャーにSSL証明書を保持させることができました。

参考までに。

1

それは悪い証明書でした。もう一度インポートしてみてください。また、中間および信頼されたルート認証局をチェックして、証明書チェーンが完了しているかどうかを確認します。 RDPは、十分ではない証明書を削除します。

0
ilan nyska