Přejít k obsahu webu
9.12.2018 / kaldy123

Vytvoření důvěryhodného certifikátu pro RDP

Ten podstatný trik jsem vybrowsil na
https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployment-using-gpo
https://www.derekseaman.com/2013/01/creating-custom-remote-desktop-services.html
https://www.derekseaman.com/2018/12/trusted-remote-desktop-services-ssl-certs-for-win10-2019.html

V čem tkví problém:
Při navázání spojení přes RDP si cílový počítač vytvoří selfsigned certifikát – se všemi důsledky. Pokud vytvoříte certifikát přes certifikační autoritu – obyčejný „computer“ certifikát nevyhovuje, a šablonu „certificate template“ pro Remote Desktop Connection – alespoň ve Windows (10, 2016) budete hledat marně. Nezbývá, než si ji vytvořit.
Článek předpokládá znalosti práce s Active Directory Certificate Services. Pro odvážné – nechte si někým nainstalovat „Enterprise CA“ – a zkuste si to „naklikat“ dle návodu…

Krok 1 – vytvoříme kopii Computer šablony.
Samozřejmě, jsme v konzoli enterprise certifikační autority, kde si přes Certificate Templates -> Management vyvoláme editor šablon:
a vytvoříme kopii „computer“ šablony:
Šablonu upravíme následně:

Pro novou šablonu autor výšeuvedeného pramene výslovně doporučuje stejné Template name i Template display name – nevím, nezkoušel jsem. Validity period a renewal period nastavte dle svých bezpečnostních zásad – pro účely článku nejsou podstatné.
Dále autor doporučuje ponechat kompatibilitu Windows XP/2003:

Krok 2 -vytvoření nové zásady aplikace
Hlavní fór při vytváření nové šablony je vytvoření „new application policy“ – a je to trochu alchymie, protože identifikátor objektu – Object indentifier – podle mne nejdůležitejší část procesu – je Pischweitzova konstanta, kterou autor vyhrabal bůhví kde.

Ještě jednou: Object identifier je: 1.3.6.1.4.1.311.54.1.2
Šablonu uložíme.

Krok 3 – šablonu vypublikujeme pro použití v rámci CA:

Krok 4 – pomocí Group Policy změníme implicitní způsob tvoření certifikátu (vytvoření selfsigned certifikátu nechceme!)

Computer Policy -> Administrative templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security:


kde nastavíme Server Authentication Certificate Template:
a když jsem v tom, tak i Require use of specific security layer for …..
Politiku si naaplikujte na počítače dle svých bezpečnostních pravidel a zásad.

Závěr:
Po tomto nastavení jsem provedl jak na RDP host (hostiteli!!!) tak na RDP client gpupdate, vyzkoušel – a hláška o nedůvěryhodném serveru zůstává! Sice certifikát je správně vydaný CA, ale RDP jej identifikuje jako nedůvěryhodný!

Až na druhý den: Já byl zvyklý zadávat do RDP klienta pouze název serveru. A v certifikátu je FQDN…. Bože – to zabolí :-)))

(Ale dokud blbnu, jsem alespoň na živu.)

Reklamy

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google photo

Komentujete pomocí vašeho Google účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s

%d bloggers like this: