none
Gerando certificado para Terminal Server RRS feed

  • Pergunta

  • Eae Pessoal,

    Gostaria de uma ajudar de como gerar e instalar o certificado no Windows server 2003 r2.

    Só para certificar o meu entendimento, fazendo isso as pessoas que não tiverem o certificado do terminal server não conseguirá conectar o teminal server, isto é, a tela de login, correto?

     


    Guisal
    sexta-feira, 22 de julho de 2011 19:09

Respostas

    • Marcado como Resposta GuiSal terça-feira, 26 de julho de 2011 19:18
    sexta-feira, 22 de julho de 2011 19:43
    Moderador
  • Em ambiente 2003 isso não será possível, pois esta opção é aplicada no Cliente de conexão com o TS

    onde se a autenticação falhar não permitir logon no servidor e não há GPO para esta configuração, você terá que configurar os clientes e distribuir na rede.

    No 2008 há esta opção de configuração por GPO para alterar as opções do cliente, então terá que obedecer os critérios de autenticação SSL

    utilizando o certificado digital.

     

    Uploaded with ImageShack.us
    • Marcado como Resposta GuiSal terça-feira, 26 de julho de 2011 19:18
    sábado, 23 de julho de 2011 18:48
    Moderador
  • Então você terá que fechar a porta do TS para a internet , liberando somente para IPs autorizados. Ou criar um servidor VPN para que somente pessoas autorizadas possam acessar. Pois esse configuração de só se possuir o certificado do servidor só funcionará se no cliente estiver configurado para não se conectar se a autenticação falhar. Lembrando que no TS se você colocar o método de autenticação High, SSL usando o certificado toda comunicação entre o servidor e o cliente estará criptografada, segura.Pode ficar tranquilo com relação a segurança.
    • Marcado como Resposta GuiSal terça-feira, 26 de julho de 2011 19:19
    domingo, 24 de julho de 2011 16:34
    Moderador
  • "porque para uma pessoa externa consegui acessar o TS e a VPN acredito que sejam as mesmas."

    Não necessáriamente, posso configurar minha VPN com protocolo L2TP com chave pré-compartilhada, com autenticação por certificados o que já dificulta

    pois o cliente terá que possuir o certificado root da CA, o certificado do servidor VPN e o certificado do user para autenticação e fechar a conexão.

    com relação ao TS, posso configurar no firewall para somente IP's determinados acessem o terminal, mas muitas empresas ou pessoas que acessam o TS , o

    fazem com IP dinâmico, o que impossibilita esse filtro de acesso, então, podemos alterar a porta de acesso ou configurar o método SSL para criptografar o

    tráfego entre o cliente e o servidor.

     

     

    • Marcado como Resposta Richard Juhasz terça-feira, 26 de julho de 2011 17:54
    segunda-feira, 25 de julho de 2011 17:29
    Moderador

Todas as Respostas

    • Marcado como Resposta GuiSal terça-feira, 26 de julho de 2011 19:18
    sexta-feira, 22 de julho de 2011 19:43
    Moderador
  • Leandro, me esclarece uma coisa, estou num ambiente de teste, exemplo registrei no RDP o certificado TESTE, depois tentei conectar neste servidor com um máquina sem o certificado e mesmo assim conectei. como que barro esse acesso e deixo possível somente máquinas com o certificado.
    Guisal
    sábado, 23 de julho de 2011 16:48
  • Em ambiente 2003 isso não será possível, pois esta opção é aplicada no Cliente de conexão com o TS

    onde se a autenticação falhar não permitir logon no servidor e não há GPO para esta configuração, você terá que configurar os clientes e distribuir na rede.

    No 2008 há esta opção de configuração por GPO para alterar as opções do cliente, então terá que obedecer os critérios de autenticação SSL

    utilizando o certificado digital.

     

    Uploaded with ImageShack.us
    • Marcado como Resposta GuiSal terça-feira, 26 de julho de 2011 19:18
    sábado, 23 de julho de 2011 18:48
    Moderador
  • Felipe deixa eu ver se entendi, os clients devem estar com essa GPO? mas eu quero que somente os computadore com o certificado instalado acessem o TS, se for aplica por GPO nos clients uma pessoa externa conseguirá acessar meu TS.
    Guisal
    sábado, 23 de julho de 2011 23:27
  • Então você terá que fechar a porta do TS para a internet , liberando somente para IPs autorizados. Ou criar um servidor VPN para que somente pessoas autorizadas possam acessar. Pois esse configuração de só se possuir o certificado do servidor só funcionará se no cliente estiver configurado para não se conectar se a autenticação falhar. Lembrando que no TS se você colocar o método de autenticação High, SSL usando o certificado toda comunicação entre o servidor e o cliente estará criptografada, segura.Pode ficar tranquilo com relação a segurança.
    • Marcado como Resposta GuiSal terça-feira, 26 de julho de 2011 19:19
    domingo, 24 de julho de 2011 16:34
    Moderador
  • A legal estava com o entendimento um pouco ofuscado, mas agora já deu uma bela clariada, também esse pode ser uns do motivo que o pessoal coloca a VPN para acessar o TS além da criptografia da VPN.

    Felipe, antes de fechar este tópico, me ajuda a entender mais uma coisa, a real necessidade disso, porque para uma pessoa externa consegui acessar o TS e a VPN acredito que sejam as mesmas.

    Por exemplo: estou estudando onde posso melhor o meu TS, meu ambiente com criptografia 128bit, senha com mínimo 7 dígitos, carácteres especial, números e letras, atualizações sem em dia. Ae conheci esse certificado pensando que poderia ser uma melhoria, mas acredito até o momento não ter necessidade.


    Guisal
    domingo, 24 de julho de 2011 23:57
  • "porque para uma pessoa externa consegui acessar o TS e a VPN acredito que sejam as mesmas."

    Não necessáriamente, posso configurar minha VPN com protocolo L2TP com chave pré-compartilhada, com autenticação por certificados o que já dificulta

    pois o cliente terá que possuir o certificado root da CA, o certificado do servidor VPN e o certificado do user para autenticação e fechar a conexão.

    com relação ao TS, posso configurar no firewall para somente IP's determinados acessem o terminal, mas muitas empresas ou pessoas que acessam o TS , o

    fazem com IP dinâmico, o que impossibilita esse filtro de acesso, então, podemos alterar a porta de acesso ou configurar o método SSL para criptografar o

    tráfego entre o cliente e o servidor.

     

     

    • Marcado como Resposta Richard Juhasz terça-feira, 26 de julho de 2011 17:54
    segunda-feira, 25 de julho de 2011 17:29
    Moderador

  • Felipe, com VPN eu consigo realizar essa autenticação, só quem tem o certificado consegue se conectar a VPN?


    Guisal
    segunda-feira, 25 de julho de 2011 19:19
  • sim.
    segunda-feira, 25 de julho de 2011 20:25
    Moderador