none
Solicitar certificado para Remote Desktop Gateway RRS feed

  • Pregunta

  • Buenos días,

    En mi empresa estamos montando un servidor de Remote Desktop Gateway para poder conectarnos a los servidores sin necesidad de VPN.

    He conseguido hacer esto generando un certificado AUTOFIRMADO por el servidor de RDG, e instalando este certificado como Entidad Certific. de Confianza en los equipos clientes.

    El problema es que nuestros equipos cliente ya tienen metida como CA de confianza un servidor que tenemos de CA (2003 server) y necesitaríamos generar un certificado para el Gateway desde nuestro servidor de CA.

    El certificado debería decir: EMITIDO PARA ts.dominio.com, EMITIDO POR servidorCA

    El dominio exterior es www.dominio.com y el interno es dominio.local. Ese es el gran problema.

    ¿Alguien puede echarnos una mano?

    Mil gracias

    jueves, 7 de abril de 2011 16:20

Respuestas

  • Pues parece que no se hizo de manera correcta la solicitud al CA del certificado

    Verifica esta opcion

    Cómo utilizar páginas de inscripción en Web para enviar una solicitud de certificado a una entidad emisora de certificados de empresa

    Para enviar una solicitud de certificado que contiene un SAN para una entidad emisora de certificados de empresa, siga estos pasos:

    1. Abra Internet Explorer.
    2. En Internet Explorer, conéctese a http:// <var>servername</var> / certsrv.

      Nota<var>servername</var> es el nombre del servidor que ejecuta Windows Server 2003 y tiene la entidad emisora de certificados que desea tener acceso a Web.
    3. Haga clic en solicitar un certificado.
    4. Haga clic en solicitud de certificado avanzada.
    5. Haga clic en crear y enviar una solicitud a esta CA.
    6. En la lista Plantilla de certificado, haga clic en Servidor Web.

      Nota La entidad emisora de certificados debe configurarse para emitir certificados de servidor Web. Quizás tenga que agregar la plantilla Web Server a la carpeta de plantillas de certificado en el complemento entidad emisora de certificados si la entidad emisora de certificados ya no está configurado para emitir certificados de servidor Web.
    7. Proporcione información de identificación según sea necesario.
    8. En el cuadro nombre, escriba el nombre de dominio completo del controlador de dominio.
    9. En Opciones de clave, establezca las siguientes opciones:
      • Crear un nuevo conjunto de claves
      • CSP: Microsoft RSA SChannel Cryptographic Provider
      • Uso de claves: Exchange
      • Tamaño de clave: 1024 16384
      • Nombre del contenedor de claves automática
      • Almacenar certificado en el almacén de certificados equipo local
    10. En Opciones avanzadas, establezca el formato de solicitud CMC.
    11. En el cuadro atributos, escriba los atributos deseados del SAN. Atributos de SAN adoptan la forma siguiente:
      san: dns = <var>dns.name</var> [& dns =<var>dns.name</var>]
      Varios nombres DNS están separados por un signo de y comercial (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos de estos nombres deben incluirse en el SAN atributos. La cadena de atributo resultante aparece como sigue:
      SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
    12. Haga clic en Enviar.
    13. Si ve la página Web de Certificado emitido, haga clic en instalar este certificado.
    viernes, 8 de abril de 2011 14:54

Todas las respuestas

  • Lo que pudieras hacer es generar un certificado SAN que contenga los dos nombres (interno y externo)

    Para comprobar si estan soportados los SAN certificates en el servidor Windows 2003 CA ejecuta lo siguiente

    certutil -getreg policy\EditFlags

    Verifica en el resultado si existe la linea EDITF_ATTRIBUTESUBJECTALTNAME2, si existe entonces si son soportados, en caso contrario ejecutar lo siguiente:

    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    Ahora solo queda reiniciar el servicio

    net stop certsvc

    net start cersvc

    Dale una revisada a esto How to Request a Certificate With a Custom Subject Alternative Name

     http://technet.microsoft.com/en-us/library/ff625722(WS.10).aspx

     

    jueves, 7 de abril de 2011 21:56
  • Mil gracias por responder Laloceh.

     

    Lo vamos a mirar ahora y te digo.

     

    Un saludo

    viernes, 8 de abril de 2011 8:18
  • Hola de nuevo,

    Sigue sin funcionar. Cuando creamos el certificado poniendo en DNS ts.dominio.com y ts.dominio.local es como si no hiciera caso y solo lo crea con el DNS ts.dominio.local, ni mención del externo.

     

    Por lo tanto, cuando instalamos ese certificado en el RDG, al conectarnos con los equipos cliente nos salta el error "El equipo no se puede conectar al equipo remoto porque la dirección solicitada del servidor de puerta de enlace de escritorio remoto y el nombre de sujeto del certificado no coinciden."

     

    ¿Alguna idea?

    Gracias.

    viernes, 8 de abril de 2011 9:10
  • Hola

    Para comprobar si se creo correctamente el certificado con los nombres alternativos, abre el certificado y en la parte de Detalles bajas hasta donde encuentres algo como "Nombre alternativo del titular" o "Subject Alternative Name" y ahi te debe de aparecer la lista de todos los nombres DNS para los que creaste el certificado

    Checa esta imagen: http://www.msexchange.org/img/upl/image0111194515834260.jpg

    viernes, 8 de abril de 2011 13:30
  • Eso es a lo que me refería antes. Ahí aparece únicamente nuestro dominio local y deberían aparecer el local y el remoto.

     

     

    viernes, 8 de abril de 2011 14:21
  • Pues parece que no se hizo de manera correcta la solicitud al CA del certificado

    Verifica esta opcion

    Cómo utilizar páginas de inscripción en Web para enviar una solicitud de certificado a una entidad emisora de certificados de empresa

    Para enviar una solicitud de certificado que contiene un SAN para una entidad emisora de certificados de empresa, siga estos pasos:

    1. Abra Internet Explorer.
    2. En Internet Explorer, conéctese a http:// <var>servername</var> / certsrv.

      Nota<var>servername</var> es el nombre del servidor que ejecuta Windows Server 2003 y tiene la entidad emisora de certificados que desea tener acceso a Web.
    3. Haga clic en solicitar un certificado.
    4. Haga clic en solicitud de certificado avanzada.
    5. Haga clic en crear y enviar una solicitud a esta CA.
    6. En la lista Plantilla de certificado, haga clic en Servidor Web.

      Nota La entidad emisora de certificados debe configurarse para emitir certificados de servidor Web. Quizás tenga que agregar la plantilla Web Server a la carpeta de plantillas de certificado en el complemento entidad emisora de certificados si la entidad emisora de certificados ya no está configurado para emitir certificados de servidor Web.
    7. Proporcione información de identificación según sea necesario.
    8. En el cuadro nombre, escriba el nombre de dominio completo del controlador de dominio.
    9. En Opciones de clave, establezca las siguientes opciones:
      • Crear un nuevo conjunto de claves
      • CSP: Microsoft RSA SChannel Cryptographic Provider
      • Uso de claves: Exchange
      • Tamaño de clave: 1024 16384
      • Nombre del contenedor de claves automática
      • Almacenar certificado en el almacén de certificados equipo local
    10. En Opciones avanzadas, establezca el formato de solicitud CMC.
    11. En el cuadro atributos, escriba los atributos deseados del SAN. Atributos de SAN adoptan la forma siguiente:
      san: dns = <var>dns.name</var> [& dns =<var>dns.name</var>]
      Varios nombres DNS están separados por un signo de y comercial (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos de estos nombres deben incluirse en el SAN atributos. La cadena de atributo resultante aparece como sigue:
      SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
    12. Haga clic en Enviar.
    13. Si ve la página Web de Certificado emitido, haga clic en instalar este certificado.
    viernes, 8 de abril de 2011 14:54
  • Gracias por responder.

     

    Lo acabamos de probar y no nos sirve. La plantilla "Servidor web" no nos deja autenticar más que el equipo, y necesitamos autenticar equipo y cliente. Creo que deberíamos usar la plantilla "Equipo", pero esa plantilla no está disponible a través de http://servidor/certsrv

     

    Si logramos hacer funcionar esto con tu ayuda, te deberé una cerveza grande. Y sino... pues también :)

     

    Muchas gracias.

    viernes, 8 de abril de 2011 15:21