none
RDS Erreur de certificats RRS feed

  • Question

  • Bonjour à tous,

    je reviens vers vous pour une petite question incomprise.

    Je reprends le contexte, j'ai une ferme rds avec un broker et 5 serveurs.

    J'ai une autorité de certification sur l'AD qui a créé mon certificat.

    Dans les différents forums, j'ai compris que pour ne pas se prendre la tête on pouvait créer un certificat générique (wildcard) et l'appliquer au broker et serveurs hôtes. Le déploiement a pris en compte mon certificat pour le service broker pour les connexions (authentification du serveur et connexion RDP)

    Pour les prendre en compte sur les serveurs hôtes, il ne restait plus qu'à modifier l'empreinte numérique du certificat.

    Je pensais avoir tout compris ^^ mais à priori j'ai oublié quelque chose.

    Je reprends la création du fameux certificat générique.

    J'ai créé un certificat ayant pour nom commun *.mondomaine.fr

    associé à ça je lui ai rajouté les noms DNS suivant : maCollection, monBroker, RDSH1, RDSH2, RDSH3 ... 

    Bien sûr ces alias existent dans mon DNS.

    Mais lors de ma connexion j'ai une fenêtre d'avertissement m'alertant sur le fait que le nom de l'ordinateur distant demandé (RDSH1.mondomaine.fr) n'a pas le même nom que celui figurant dans le certificat de l'ordinateur distant (maCollection)

    Or j'ai comme alias monDomaine et RDSH1 dans mon certificat, c'est comme s'il regardait le 1er alias mais ne prenait pas en compte les autres.

    Quelqu'un pourrait-il m'aider à résoudre cet épineux problème ?

    Merci pour vos retours

    mardi 5 octobre 2021 11:45

Réponses

  • Bonjour,

    Au niveau du certificat, il contient bien le rôle authentification du serveur ?

    Dans la partie nomDNS vous pouvez spécifier *.mondomaine.fr car imaginez le jour ou vous rajoutez un serveur, il sera nécessaire de regénérer un certificat.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    vendredi 22 octobre 2021 20:49

Toutes les réponses

  • Bonjour,

    Ce comportement est décrit dans l'article suivant, dans le scénario 3, où il indique également comment contourner le problème : https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/remote-desktop-connection-rdp-certificate-warnings/ba-p/259301

    J'espère que cela vous aidera avec votre requête,

    --Si la réponse est utile, veuillez voter et accepter comme réponse--
    lundi 11 octobre 2021 16:46
  • Bonjour,

    tout d'abord merci de vous intéresser au problème, hélas la solution n'est pas dans le post.

    Ce qui se passe c'est qu'à  chaque reboot du serveur (maj par exemple), le certificat auto-signé <monRDSH> se recrée automatiquement.

    Du coup, il se retrouve avec les certificats <*.monDomaine.com> et <monRDSH> dans le bureau à distance, et on a à nouveau l'alerte.

    Bref, je cherche une solution pérenne sans effet de bord pour empêcher cette auto régénération.



    mardi 12 octobre 2021 11:00
  • Bonjour,

    Au niveau du certificat, il contient bien le rôle authentification du serveur ?

    Dans la partie nomDNS vous pouvez spécifier *.mondomaine.fr car imaginez le jour ou vous rajoutez un serveur, il sera nécessaire de regénérer un certificat.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    vendredi 22 octobre 2021 20:49
  • Bonjour, 

    oui il contient bien le rôle d'authentification du serveur.

    Par contre dans le nom DNS, j'ai mis tous les alias de mes serveurs et le nom des collections.

    J'avais pas osé mettre le wilcard au niveau dns.

    Je pensais effectivement régénérer le certificat le jour où on aurait rajouter un serveur.

    Bon je vais pas m'éterniser sur le sujet, à priori mettre le wilcard est un pis-aller. J'aurais aimé trouver une solution pour empêcher le serveur de s'autogénérer un certificat, mais bon.

    merci pour la réponse.

    lundi 25 octobre 2021 07:46