我对以下系统有疑问:
- 有一个带有 2 个节点、一个网关和一个代理的 Windows 2012 R2 TS 场
- 它可以从 login.example.com 外部获得
- 还有一个AD,TS场服务器是成员服务器,AD域是example.local
问题:我想允许用户在没有任何警告或任何证书安装要求的情况下访问这个系统。这些计算机是非 AD 计算机,无法使其成为 AD 成员。
我尝试或想到的事情:
- 我试图为 login.example.com 获取一个免费的 StartSSL 证书,但是在我安装它之后,由于名称不匹配,TS 会话开始中断。
- 我试图制作一个颁发给 tsgw.example.local 的自签名证书,但问题恰恰相反:即使我安装了证书,浏览器也会抱怨名称不匹配。
- 据我所知,没有公共 CA 允许使用公共通用名称颁发证书,而是使用私有替代名称/附加 DNS 名称。
- 我发现的论坛/SO/SF 主题建议创建一个私有 CA 并使用该证书颁发证书(它能够向两个名称颁发证书)但这是我们的最后计划,因为我们真的不想强迫用户如果有办法避免这种情况,请安装 CA 证书以使用我们的服务(因为它们是非 AD 计算机,因此无法自动强制信任我们的 CA)。
这个问题有什么解决办法吗?如果有办法强制 RDweb 忽略名称不匹配,我会很满意。
解决方案比我预期的要容易。您必须在服务器管理器中导航到远程桌面管理界面,编辑部署属性并将“证书”选项卡中的所有证书更改为外部证书。在服务器间通信中,服务不使用 SSL 加密连接(只是纯 RPC),因此它们可以简单地忽略您安装的证书。但是,在客户端-服务器通信中,将使用此证书,因此在所有情况下都必须相同,这一点非常重要。
为什么不能从权威机构购买 SSL 证书?我最近正在配置一个类似的设置,我都来自这里:https ://www.namecheap.com/ 它被称为 PositiveSSL,成本约为 6 美元。在您的服务器配置此服务器后,您将不会收到 SSL 错误。