我们的团队最近决定重新配置一组旧的 Windows Server 2012 服务器/网络,以将其设置为生产使用。我们最近为所有服务器重命名了旧域,将每个服务器重新附加到域,并为环境购买并上传/配置了新的通配符证书。我们遇到的一个问题是在各个地方对旧域名的引用。我们不得不多次分离和重新连接服务器以获得更新域名的预期结果(在大多数情况下这是一个问题)。我们似乎在这方面取得了成功。
我无法解决的当前问题是与名称不匹配和证书警告有关的问题。就我而言,我通过 VPN + 私有 IP 地址 + RDP 连接到服务器,但是当我连接时,“请求的远程计算机”名称是服务器的私有 IP 地址(例如 10.20.30.20)。它应该是服务器的 FQDN(例如 computername.blahblah.com)。由于它只是看到服务器的 IP 地址,因此“来自远程计算机的证书中的名称”不匹配(证书中的 SAN 使用 computername.blahblah.com 引用)。
请注意,这种不匹配只发生在组中的一台服务器上。所有其他服务器的行为与预期一样,具有与证书中列出的 SAN 匹配的正确计算机名称。
如何更新服务器的“请求的远程计算机”名称,这样我的证书就不会再出现名称不匹配的问题?请参阅下面的错误截图:
好吧,执行此操作的简单方法可能是通过主机名而不是 IP 连接到服务器,因此您不会看到该警告。
或者,忽略它。您可以忽略它并连接,在这种情况下不会造成安全风险,因为您知道您认为要连接的服务器是您尝试连接的服务器,而不是某种 MITM(man在中间)攻击。
当然,正确的方法是在您的机器上重新颁发证书。 您可以在证书的 SAN(主题备用名称)字段中包含短名称和 IP 地址,以便服务器使用与您连接到它的任何方式匹配证书的名称来标识自己。