Přejít k obsahu webu
23.6.2022 / kaldy123

Set RDP connection certificate

Nastavení certifikátu pro RDP spojení

Při vytváření RDP spojení (lhostejno zda pro Terminal Services nebo pro Administrator RDP – připojení bez licensing serveru za účelem správy) si RDP tvrdohlavě vytváří svůj self-signed certifikát. Nejčastější medicínou doporučovanou i MS je instalace tohoto certifikátu mezi trusted certificates na stroji, který se připojuje (typicky: správce nebo uživatel TS). Přesvědčit RDP, aby používal certifikát vytvořený např. vaší CA v doméně, bývá tvrdým oříškem.

Jedna z prací, která nabízí solidní řešení je:
https://docs.microsoft.com/en-US/troubleshoot/windows-server/remote/remote-desktop-listener-certificate-configurations
Část, která popisuje řešení skrze registry se mi zdá poněkud mimo na nových OS (i pro existující RDP spojení jsem příslušné klíče nenašel), ale část popisující použití utilitky wmic mi zafungovala na „první dobrou“:

wmic /namespace:\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

Jediný problém je, že utilitka je skoro všude označená jako „deprecated“ – nepodporovaná. Nezbylo mi, než začít s nastavením WMI přes PowerShell (to přesně utilitka dělá: nastavuje proměnné ve WMI):

Když už známe CIM instanci, zbývá ji jenom změnit:

$x=Get-CimInstance -Namespace 'root\cimv2\TerminalServices' -ClassName 'Win32_TSGeneralSetting'
Set-CimInstance -CimInstance $x -Property @{SSLCertificateSHA1Hash="<hash-certifikátu>"}

V doméně to funguje perfektně, pokud se připojujete jako mimoni a externisti, budete potřebovat na CA nějaký veřejně dostupný CRL distribution point – nejlépe asi web….

Advertisement

One Comment

Napsat komentář
  1. sašáK / lis 27 2022 23:40

    Trochu mne to potrápilo:
    Set-CimInstance : Invalid parameter… bla, bla, bla …
    Zkuste PS v privilegovaném módu! (Run PS as administrator!!!!)

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s

%d blogerům se to líbí: