Início / server / Perguntas / 746591
Accepted
s1lv3r
Asked: 2016-01-05 04:55:56 +0800 CST

Posso usar um certificado Comodo Wildcard-Subdomain para RDP no Win10?

  • 772

eu segui

para proteger o RDP com um certificado adequado em vez do certificado autoassinado do Windows. Isso tudo funciona bem. até eu correr

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH"

Este comando resulta apenas em "Param inválido".

O mesmo comando funciona bem com o hash do certificado original (autoassinado do Windows). Então eu acho que algo deve estar errado com o meu certificado. Parece estar instalado corretamente na loja de certificados (com chave privada e na subseção "Desktop remoto").

Olhando para os detalhes do certificado no snap-in do MMC de certificação, meu certificado importado tem um ponto de exclamação amarelo ao lado de:

Uso de chave = assinatura digital, criptografia de chave (a0)

e o campo adicional

Limitações Base = Tipo de solicitante: unidade final

Enquanto o certificado autoassinado que o Windows gera para a conexão RDP tem:

Uso de chave = criptografia de chave, criptografia de dados (30)

Existe alguma maneira de mudar isso ou simplesmente não é possível usar este certificado para RDP?

Algumas informações adicionais:

  • O certificado é um certificado COMODO PositiveSSL Wildcard,
  • Eu converti o certificado do formulário PEM original para PKCS7 e de PKCS7 para PKCS #12/PFX usando OpenSSL antes de importá-lo para o armazenamento de certificados do Windows,
  • Outra diferença entre os certificados é que o Windows é sha1 enquanto o Comodo é sha256,
  • É uma estação de trabalho Win10,
  • A estação de trabalho não é membro de nenhum domínio, mas de uma instalação independente.
ssl-certificate

2 respostas

  1. Best Answer

    Receio que devo responder à minha própria pergunta e a resposta parece ser Não . Usando o comando openssl x509 -in cert.crt -purpose -noout -text, verifica-se que o certificado original entregue pela Comodo já não possui os sinalizadores necessários no Key Usagecampo. Não tem o Data Enciphermentrecurso.

    O certificado Comodo se parece com isso:

            X509v3 Key Usage: critical
            Digital Signature, Key Encipherment
        X509v3 Basic Constraints: critical
            CA:FALSE
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication, TLS Web Client Authentication

    Enquanto o certificado autoassinado do Windows tem os seguintes sinalizadores:

        X509v3 extensions:
        X509v3 Extended Key Usage: 
            TLS Web Server Authentication
        X509v3 Key Usage: 
            Key Encipherment, Data Encipherment
    • 3

  2. Não sei se você ainda precisa da resposta para esse problema, mas se alguém ainda precisar, aqui está.

    Você realmente não precisa dos atributos especificados por você.

    Seguindo os passos deste post, você terá sucesso na instalação de qualquer CRT (Wildcard ou Normal) em um computador/controlador de domínio.

    Não testei sem o AD CS mas acho que funciona.

    A única coisa que você precisa fazer é converter o CRT/p7b para cer e depois para pfx (pkcs12) usando a chave e o bundle. Em seguida, importe-o manualmente para o seu sistema operacional.

    https://blogs.technet.microsoft.com/enterprisemobility/2010/04/09/configuring-remote-desktop-certificates/ - esta é a postagem.

    https://www.sslshopper.com/ssl-converter.html - aqui você encontra como converter os certificados.

    A propósito, você pode pular a parte do script WMI e usar o seguinte comando do powershell com direitos administrativos:

    wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="YOUR-THUMBPRINT-GOES-HERE"

    Funcionou para mim no Windows Server 2016/Windows 10.

    Espero que ajude! :)

    • 1

relate perguntas