我对以下系统有疑问:
- 有一个带有 2 个节点、一个网关和一个代理的 Windows 2012 R2 TS 场
- 它可以从 login.example.com 外部获得
- 还有一个AD,TS场服务器是成员服务器,AD域是example.local
问题:我想允许用户在没有任何警告或任何证书安装要求的情况下访问这个系统。这些计算机是非 AD 计算机,无法使其成为 AD 成员。
我尝试或想到的事情:
- 我试图为 login.example.com 获取一个免费的 StartSSL 证书,但是在我安装它之后,由于名称不匹配,TS 会话开始中断。
- 我试图制作一个颁发给 tsgw.example.local 的自签名证书,但问题恰恰相反:即使我安装了证书,浏览器也会抱怨名称不匹配。
- 据我所知,没有公共 CA 允许使用公共通用名称颁发证书,而是使用私有替代名称/附加 DNS 名称。
- 我发现的论坛/SO/SF 主题建议创建一个私有 CA 并使用该证书颁发证书(它能够向两个名称颁发证书)但这是我们的最后计划,因为我们真的不想强迫用户如果有办法避免这种情况,请安装 CA 证书以使用我们的服务(因为它们是非 AD 计算机,因此无法自动强制信任我们的 CA)。
这个问题有什么解决办法吗?如果有办法强制 RDweb 忽略名称不匹配,我会很满意。
