web-dev-qa-db-ja.com

自己署名証明書を作成し、Windows RDP(ドメインなし)で信頼する

Windows RDPを使用して自宅のPCを(VPN経由で)リモートコントロールできますが、常に次の警告が表示されます。

windows RDP certificate warning

自己署名証明書を手動で生成してインストールする必要がありますか?

または、これはすでに発生していて、すでに提供されているものを信頼できますか?

「このコンピューターへの接続を再度要求しないでください」はこれを行いますか?それとも、名前を確認し、証明書の確認をバイパスするだけですか?

それでも、検証に自己署名証明書を使用したいと思います。ラップトップに自己署名証明書を信頼してもらいたいだけです。

私はWindows10を使用しています。

3
Tom Jenkinson

このダイアログボックスには、少なくとも3つの解決策があります。

  1. Don't ask me again for connections to this computerチェックボックスをオンにします
  2. リモートマシンで使用されている証明書をローカルマシンにインストールしますTrusted Root Certification Authoritiesストア
  3. 両方のコンピューターが信頼する誰かによって署名された証明書を使用する

最初のオプションはほとんどの人が行うことであり、それを行うことはまったく問題ありません。証明書をインストールしたり完全に信頼したりすることはありませんが、この証明書をRDP接続に対してのみ、使用されているホスト名を持つコンピューターに対してのみ信頼することを忘れないでください。

次の場所に新しいレジストリキーを作成します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers\Computer-1

証明書の拇印を持つCerthash値を使用します。

このキーを削除すると、ダイアログボックスが再び表示されます。

この例外は現在のユーザーのみを対象としており、同じマシン上の別のユーザーが同じことを行う必要があります。

2番目のオプションは、自己署名証明書を実際に信頼することです。昇格した管理者としてRemote Desktop Connectionを起動し、View certificateボタンをクリックして、次のページでInstall Certificate...ボタンをクリックする必要があります。 Local MachineBrowse...を選択します。 Trusted Root Certification Authoritiesストアを使用して、インポートプロセスを終了します。

このオプションを使用すると、コンピューター上のすべてのユーザーがダイアログを表示せずにリモートマシンにRDPできますが、コンピューターに新しいCAを追加しました。これは通常、最善の方法ではないため、避ける必要があります。誰かがリモートコンピュータをハッキングした場合、その人はその証明書を手に入れ、他の目的のためにあなたの信頼を利用する可能性があります。自己署名RDP証明書はサーバー認証専用であり、他の証明書に署名するために使用することはできませんが、わかりません。

リモートコンピューターでRDPを有効にすると、Windowsはこの自己署名証明書を自動的に作成しますが、通常は6か月間しか有効ではないため、6か月後にオプション1または2を繰り返す必要があります。

オプション3を使用すると、より長く有効な証明書を取得できますが、独自のCAを持っているか、公開されているCAを使用する必要があります。

私はオプション1に固執します

8
Peter Hahndorf

「はい」を選択し、「二度と聞かないでください...」のチェックボックスをオンにすると、自己署名証明書が受け入れられ、その証明書を再度承認するように求められません。

そうです-証明書が生成されました。この使用シナリオでそれを使い続けることはまったく問題ありません。他に何もする必要はありません。

このような個人的な使用の場合、CAによって署名された「実際の」証明書を追求する必要はありませんが、意見(およびパラノイアのレベル)は異なります。正当な証明書を取得するのは安くて簡単になっていますが(暗号化しましょうを参照)、それでもRDPにそれらを使用するのは少しハードルです。

注:同じリモートコンピューターから同じVPNリンクを介してこのコンピューターに接続していて、証明書を信頼することを選択し、「再度表示しない」場合でも、将来のある時点で再度プロンプトが表示されます。それはあなたがいくらか心配する必要があるときです。それが、中間者攻撃の男性が現れる方法です。

信頼できるリモートマシンからの証明書を表示できます。これは、CA Windowsの信頼によって発行されたために暗黙的に、またはこのrdp証明書の場合のように、説明されているcert mmcプラグインを使用して明示的に表示できます ここ

2
Argonauts