Question Comment puis-je contourner des problèmes de configuration de certificat dans les services de bureau à distance?


Je suis en train de configurer une batterie de serveurs Remote Desktop Services et je ne parviens pas à configurer les certificats à utiliser. Vous trouverez une démonstration du problème rencontré à l’étape 4.

À ce stade, je suis convaincu qu'il y a des problèmes avec l'interface utilisateur et je cherche des solutions pour les résoudre. Existe-t-il un moyen de configurer les certificats dans les services de bureau à distance pour que les paramètres soient conservés et reflétés dans l'interface graphique? Sinon, est-il possible pour moi de vérifier que les paramètres sont corrects?

Étape n ° 1 - Créer un certificat à utiliser.

J'ai configuré un certificat à utiliser avec RD Web Access. Le certificat est stocké dans la console MMC Certificats de mon agent de connexion RD et je configure la batterie à partir de cet ordinateur. certificate

J'ai trouvé en laissant RD Web Access générer son propre certificat que les propriétés suivantes sont requises:

  • Utilisation améliorée des clés
    • Authentification du serveur
    • Authentification du client
      • Cela n'est peut-être pas obligatoire, mais le certificat auto-signé l'inclut.
  • Utilisation clé
    • Signature numérique
    • Accord clé
  • Sujet Nom alternatif
    • Nom DNS = domaine.com

Détour sur la génération de certificats auto-signés

Pour faire un détour rapide, j’ai pu résoudre un problème de création de certificats auto-signés à l’aide de powershell. La documentation pour le Nouveau-RDCertificate La cmdlet donne l'exemple suivant:

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

En tapant ceci dans le shell, vous obtiendrez un message d'erreur indiquant qu'une fonction, Get-Server ne peut être trouvé. Avant d'utiliser New-RDCertificate, vous devez importer le module RemoteDesktop avec Import-Module RemoteDesktop.

Étape n ° 2 - Observez le comportement prêt à l'emploi

La première fois que vous visitez la boîte de dialogue Propriétés de déploiement en accédant au Gestionnaire de serveur -> Services de bureau à distance -> Collections et en sélectionnant "Modifier les propriétés de déploiement" dans la liste déroulante "Tâches" du groupe "Collections", l'écran suivant s'affiche. : enter image description here

Cette fenêtre est trompeuse car le level le champ est répertorié comme "Non configuré". Si je comprends bien, les trois services de rôle utilisent un certificat auto-signé. Pour le rôle d'accès Web aux services Bureau à distance, vous pouvez vérifier cela en visitant le site Web: certificate error

Le certificat utilisé apparaît également dans la MMC Certificats: certificates MMC showing the RD Web Access certificate

Étape 3 - Attribuer un nouveau certificat

La boîte de dialogue Propriétés de déploiement me permettra de sélectionner mon certificat existant. Le certificat doit être placé dans les ordinateurs locaux Certificats MMC dans le magasin de certificats "Personnel". La clé privée devra être exportable et vous devrez fournir le mot de passe. J'ai temporairement exporté mon certificat dans un fichier nommé temp.pfx avec un mot de passe, puis importé dans Services de bureau à distance à partir de là.

Une fois cette opération effectuée, l'interface graphique indiquera qu'elle est prête à accepter la nouvelle configuration. ready to accept certificate

Une fois que je clique sur le bouton "Appliquer", l'interface graphique indique le succès. enter image description here

Cela peut être vérifié en visitant le site Web Accès Web RD pour une deuxième fois. Il n'y a pas d'erreur de certificat. enter image description here

Étape # 4 - Le GUI ne parvient pas à maintenir son état

Si l'interface graphique est fermée et rouverte, tous ces paramètres semblent être perdus. settings are lost

En fait, le certificat que j'ai configuré est toujours utilisé. Je peux continuer à accéder au site d'accès Web de RD sans aucune erreur de certificat.

Bizarrement, si j'utilise le bouton "Créer un nouveau certificat ..." pour générer un certificat auto-signé, cette fenêtre sera mise à jour à un niveau "Non approuvé". Ce paramètre sera ensuite conservé lors de l'ouverture et de la fermeture de la boîte de dialogue Propriétés de déploiement.

Y a-t-il quelque chose que je puisse faire pour que mes paramètres semblent coller? J'ai l'impression que quelque chose ne va pas lorsque l'interface graphique affirme que je n'ai pas entièrement configuré les certificats.


31
2018-02-08 17:50


origine


C'est une question très bien pensée. Gloire. - Ryan Ries
Excellente question; Dommage, impossible d’attribuer plus de +1. Ne pas disposer de labo pour les tests, mais trouver de bons liens: technet.microsoft.com/en-us/library/cc730805.aspx. technet.microsoft.com/en-us/library/cc725949.aspx  youtube.com/watch?v=D6UBsuCuJs8 et rivald.blogspot.com/2011/06/… Également: blog.kristinlgriffin.com/2010/07/… - Lizz
Encore de la chance, Michael? - Lizz
@Lizz Autant que je sache, le certificat que nous utilisons pour le service de rôle Accès Web RD est accepté par les clients. L'interface utilisateur continue de signaler "Non configuré" même s'il utilise en réalité le certificat que j'ai spécifié. - Michael Steele
Comme ton flou. Pas le genre traditionnel. - StackExchange User


Réponses:


J'ai vérifié notre ferme hier et j'ai remarqué qu'il s'agissait de Windows 2008 ... Le vôtre date de 2012. Je suis sûr qu'il existe de grandes différences, mais j'espère que mes informations m'aideront.

Ouverture de MMC -> Certificats -> Compte d'ordinateur Je vois 2 certificats dans le dossier "personnel / Certificats":

  • Certificat auto-signé (même émetteur et sujet)
  • Certificat délivré par notre domaine CA

L'auto-signé indique une erreur dans les détails, votre certificat a-t-il la même erreur? Error

Pour résoudre cette erreur, il suffit de copier et coller le certificat du sous-dossier "personal / Certificates" dans "Autorités de certification racines de confiance / Certificats". Avec cette étape, le même certificat ne donne aucune erreur. OK Certificate

Après cela, il n'y a plus que deux endroits où vous configurez le certificat (sous RDS Windows 2008) que j'ai trouvé.

Notre gestionnaire RemoteApp montre: Main

Les paramètres de signature numérique: DSS

Et dans la configuration de l'hôte de session Bureau à distance, dans les paramètres de la connexion: RDSHC

À la finet si je me souviens bien, nous avons résolu le problème en vérifiant toutes les options, l’observateur d’événements, en veillant à ce qu’il n’y ait pas d’erreur de certificat, en remplissant certains groupes locaux, en leur donnant l’accès conformément à la politique de sécurité ...

Bonne chance.

---- Mis à jour ----

N'oubliez pas d'importer dans le profil utilisateur, l'autorité de certification de l'émetteur ou le certificat (s'il est auto-signé) dans "Autorités de certification racines de confiance / Certificats" afin que le client ne reçoive aucune erreur de certificat. Ce point était important dans notre système.


2
2018-03-25 16:50



Merci pour l'information. Nous utilisons des certificats signés par notre propre autorité de certification. Le problème que je rencontre est unique à Windows Server 2012. L’interface graphique affirme que les certificats ne sont pas configurés correctement, voire pas du tout. - Michael Steele


J'ai eu exactement le même problème et j'ai trouvé le correctif. Tout se passe comme vous avez créé le modèle de certificat et demandé le certificat.
Voici le correctif:

  1. Créez un modèle de certificat en dupliquant le modèle Ordinateur.
  2. Éditez le nouveau certificat et ces deux mods importants 2a. Autoriser l'exportation clé privée 2b. Dans l'onglet Nom du sujet, sélectionnez le bouton radio "Fournir dans la demande".
  3. Publier le nouveau modèle
  4. Créer une nouvelle demande et sélectionner le nouveau modèle
  5. Ajoutez un nom commun et DNS pour le RDWeb. (J'ai ajouté tous les serveurs RD Farm)

Exemple:

CN = rdweb.domain.local

CN = rdcb.domain.local

CN = rdsh1.domain.local

CN = rdsh2.domain.local

CN = rdsh3.domain.local

rdweb.domain.local

rdcb.domain.local

rdsh1.domain.local

rdsh2.domain.local

rdsh3.domain.local

  1. Ajoutez rdweb.domain.local au nom convivial, puis générez le certificat.
  2. Exporter le cert avec privé
  3. Importer dans la console de déploiement de RD.

Vous faites tout cela et Level sera Trusted et Status OK


2
2018-02-17 16:50