我需要 RDP 进入外部静态 IP 后面的多台机器。我使用的方法是将选定的端口转发到目标 IP:3389。例如
forward 100.110.120.130:10001 to 192.168.1.101:3389
forward 100.110.120.130:10002 to 192.168.1.102:3389
etc...
哪个工作正常。但现在我想使用 SSL/TLS 并保护 RDP 会话。我可以使用来自主机的 RDP 服务器身份验证证书并将其安装到客户端计算机受信任的根 CA 存储中,但是 RDP 主机的名称与外部 IP 地址不匹配,并且出现证书错误。
外部IP是静态的,不会改变,但端口必然会改变。那么,是否可以使用通配符证书并将静态IP映射到子域,并继续使用这种方式进行端口转发而不会遇到证书错误?
谢谢你们...
首先,证书主题(也不是主题备用名称扩展)需要端口信息,因为证书标识远程主机,而不是远程主机上的特定服务。
其次,证书主题必须与地址栏/字段中的名称/地址客户端类型匹配。它不需要匹配内部名称/地址。
这意味着出于您的目的,在主题字段中创建具有公共 IP/名称的单个证书是安全的。将此证书分发给 NAT 后面的所有必需客户端,您会没事的。