HOWTO: 为 Remote Desktop Services (RDP) 创建和指派证书
Windows 启用远程桌面后,会使用自签名证书加密 RDP,这导致用户在通过 MSTSC 启动 Remote Desktop Connection 进行连接时遇到不受信任的警告提示,此外如果部署了 Remote Desktop Services - RemoteApp,也是需要为其配置证书的,本文将只分享如何创建用于 RDP 证书,以及为 RDS 指派证书的方法和过程,其他相关的细节不会指出和讨论。
要创建 RDP 证书需要使用 x509 证书的增强型密钥用法扩展 - “微软远程桌面验证”(Remote Desktop Authentication) ,其 OID 为:1.3.6.1.4.1.311.54.1.2 ,其中各字段表示的含义如下:
- 1.3.6.1.4.1.311.54.1.2 - 微软远程桌面验证(Remote Desktop Authentication)
- 1.3.6.1.4.1.311 - Microsoft
- 1.3.6.1.4.1 - IANA 注册的私营企业
- 1.3.6.1.4 - 互联网私人
- 1.3.6.1 - 来自 1.3.6.1 的 OID 分配 - 互联网
- 1.3.6 - 美国国防部
- 1.3 - ISO 识别组织
- 1 - ISO 分配的 OID
已经获取到 Remote Desktop Authentication 的 OID 为 1.3.6.1.4.1.311.54.1.2,接下来就可以创建用于 RDP 的证书模板,为此启动 ADCS 控制台进入证书模板管理,基于“计算机”证书创建 RDP 证书,在“扩展”选项卡下,编辑“应用程序策略”,根据前面提供的 OID 添加新的策略扩展。
当我们基于 RDP 证书模板获取到证书后,就需要指派给本机 RDP,可以参考微软官方的知识库 KB3042780 提供的方法操作。
首先,取得 RDP 证书的 指纹,可以从申请到的证书详细信息中获取,将其复制到一个文本文件中,以备后用。
为了确保后续能正常使用,请将指纹复制到 CMD 中,删除字符串中的空格以及首部的 ASCII 字符,并重新复制到文本文件中。
证书指纹准备就绪后,执行如下指令替换当前计算机的 RDP 证书。
至此,配置结束。当然我们也可以修改注册表实现如上的步骤。
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
键名称:SSLCertificateSHA1Hash
键类型:REG_BINARY
键值:证书指纹
因为 RDS 运行在 “NETWORK SERVICE” 账户下,我们需要通过 MMC 载入 证书 模块,找到 RDP 证书,在 “权限” 中添加 “NETWORK SERVICE” 允许 “读取”。