none
продление сертификата RDS RRS feed

  • Вопрос

  • добрый день, имеется терминальный сервер 2008р2, домен и свой ЦС

    заканчивается сертификат на сервер терминалов, этот же сертификат стоит в RDweb и им же подписаны подключения remoteApp на клиентах

    подскажите мои действия, если есть то ссылки на инструкции

    это у меня первый раз когда сертификат заканчивается)

    часть клиентов в домене, часть нет

    спасибо

    18 февраля 2021 г. 11:09

Ответы

  • вообщем закончилась моя история, расскажу т.к. инфы в инете вообще ноль по этому вопросу, согласен, что ничего сложного, но это когда этот этап уже прошел, а когда в первый раз на работающем сервере

    итак

    1. сертификат надо продлевать пока он не закончился, в оснастке сертификаты, по правой кнопке на нужный сертификат - обновить с тем же открытым ключом, создается запрос и тут же ЦС выпускает новый сертификат, который тут же заменяется автоматом в терминальном сервере и для RDWeb, отключение пользователей не происходит

    также возникла сложность при обновлении, что ругалось, что нет доступа у пользователя к шаблону сертификата, тут же на форуме есть ответ, что нужно комп этот добавить в безопасности для этого шаблона в оснастке шаблоны, но и не было сказано, что службу ЦС надо перезапустить после этого

    2. для шлюза нужно менять вручную, служба требует перезапуск, т.ч. сеансы пользователи сбрасываются

    3. по подписи старым сертификатом приложений ремотапп

    когда старый сертификат заканчивается, то начинает писать желтое окошко, что неизвестный издатель, но пускает на сервер

    если пересоздать приложения уже с новым сертификатом, то выскакивает синее окошко о неизвестном издатели, просто добавляем новый отпечаток в политике GPO

    20 февраля 2021 г. 6:42

Все ответы

  • Здравствуйте. Да всё просто, выпускаете новый и всё.

    Renew an Existing Certificate Wizard Page

    Доменные машины будут сразу ему доверять. А недоменным придется руками установить.

    18 февраля 2021 г. 11:31
  • не понятно что устанавливать на клиентах? на них же устанавливается только сертификат самого CA, а не сервера терминалов

    если сделать продление сертификата, установленные приложения ремотапп подписанных старым сертификатом продолжат работать? у тех кто в домене и не в домене?

    18 февраля 2021 г. 11:41
  • не понятно что устанавливать на клиентах?

    - На доменных ничего. На недоменных сертификат, выпущенный в AD CS для RDS.

    на них же устанавливается только сертификат самого CA, а не сервера терминалов

    - Верное утверждение про недоменных клиентов.

    если сделать продление сертификата, установленные приложения ремотапп подписанных старым сертификатом продолжат работать?

    - Не продолжат. Поменяется отпечаток сертификата. Распространите ярлык групповыми политиками, либо обучите пользователей использовать RDWeb.

    у тех кто в домене и не в домене?

    - У тех и у тех.

    P.S Ну и как я люблю говорить, прикрутите уже в конце концов Letsencrypt и спите спокойно.



    18 февраля 2021 г. 11:55
  • вы сами себе противоречите:

    не понятно что устанавливать на клиентах?

    - На доменных ничего. На недоменных сертификат, выпущенный в AD CS для RDS.

    вот тут вы говорите, что надо ставить сертификат для rds (хотя нигде об этом не пишут  и я никогда нигде его не ставил)

    а вот тут:

    на них же устанавливается только сертификат самого CA, а не сервера терминалов

    - Верное утверждение про недоменных клиентов.

    уже пишите что все таки не надо устанавливать на клиентах сертификат для рдс

    18 февраля 2021 г. 12:11
  • вот тут вы говорите, что надо ставить сертификат для rds (хотя нигде об этом не пишут  и я никогда нигде его не ставил)

    Вы не ставили, а вот Ваши коллеги видимо ставили. Если речь идет о выпущенном в AD CS. Сам он там не мог чудом оказаться.

    Ну и как это нигде не пишут ?

    Как подключить сертификат подписанный AD CS к RPD

    How to deploy Remote Desktop Services 2012 R2 Certificates using internal CA #RDSШаг 5. Настройка использования сертификатов для служб удаленных рабочих столов.

    - Давайте еще раз.

    1. Вам нужно выпустить сертификат из AD CS и установить на терминальном сервере.

    2. Доменные клиенты будут сразу ему доверять.

    3. Недоменным клиентам Вам придется его установить руками.


    18 февраля 2021 г. 12:37
  • по 3 пункту вопрос, в тех ссылках что вы дали (1ая и 3тья) инфы такой нигде нет и я никогда этого не делал, да и по логике этого делать и не надо, нужен установленный на клиентах сертификат ЦС, чтобы на клиентах было доверии к сертификату от рдс который он получает при подключении

    максимум можно отпечаток сертификата rds распостранить (через ад для доменных или через скрипт при установке ремотаппа для не доменных юзеров) чтобы он не писал при подключении что надежен ли издатель

    можете дать ссылку как сделать 1 пункт? просто в консоли ЦС нет пункта продления сертификата, есть только отозвать(

    это не надо, через оснастку сертификаты сделал запрос на перевыпуск, но как я понял, можно было и сделать новый сертификат, т.к. перевыпуск ни каких бонусов не несет - все равно везде все вручную надо выбирать-указывать

    • Изменено skros 18 февраля 2021 г. 13:58
    18 февраля 2021 г. 12:56
  • Правка по 3 пункту. На доменных ПК никуда ничего импортировать не нужно. Всё будет работать с "коробки".

    - На недоменных ПК, импортируете корневой сертификат от компа в доверенные и после всё будет работать.

    ***

    можете дать ссылку как сделать 1 пункт? просто в консоли ЦС нет пункта продления сертификата, есть только отозвать(

    это не надо, через оснастку сертификаты сделал запрос на перевыпуск, но как я понял, можно было и сделать новый сертификат, т.к. перевыпуск ни каких бонусов не несет - все равно везде все вручную надо выбирать-указывать

    ***

    Вот, что пишет Леонид Шапиро в своих курсах:

    Средствами Microsoft PKI отследить состояние валидности сертификата на сервисе невозможно. Служба сертификатов не опрашивает web-сервер, которому был выдан сертификат. Вы можете проверить валидность сертификата, обратившись к БД сервера сертификатов, но сразу возникает вопрос о зоне ответственности и целесообразности таких проверок администратором CA. CA выдает сертификаты, отзывает сертификаты и публикует списки отзыва.

    How to set up automatic certificate enrollment in Active Directory

    Так можно политиками обновить.


    - Сейчас проделал лабу. Развернул терминалку и AD CS. С доменными клиентами ни каких абсолютно проблем.

    1. Выпустил сертификат из шаблона Computer. 

    2. Засунул во все сервисы RDS.

    - Далее не подоменным клиентам:

    Естественно в данный момент они ругаются везде и на все.

    3. Импортировал корневой сертификат от компа в доверенные.

    4. На вэб перестало ругаться. (Обязательно добавлять в серте SAN иначе браузеры будут ругаться)

    5. Единственное словил такую ошибку и решение тут же RDP - A revocation check could not be performed for the certificate

    I have read on another forum that RDP does not support CRL, you need to implement a OCSP responder.

    - После установки ответчика OCSP проблема ушла.








    18 февраля 2021 г. 18:21
  • вообщем закончилась моя история, расскажу т.к. инфы в инете вообще ноль по этому вопросу, согласен, что ничего сложного, но это когда этот этап уже прошел, а когда в первый раз на работающем сервере

    итак

    1. сертификат надо продлевать пока он не закончился, в оснастке сертификаты, по правой кнопке на нужный сертификат - обновить с тем же открытым ключом, создается запрос и тут же ЦС выпускает новый сертификат, который тут же заменяется автоматом в терминальном сервере и для RDWeb, отключение пользователей не происходит

    также возникла сложность при обновлении, что ругалось, что нет доступа у пользователя к шаблону сертификата, тут же на форуме есть ответ, что нужно комп этот добавить в безопасности для этого шаблона в оснастке шаблоны, но и не было сказано, что службу ЦС надо перезапустить после этого

    2. для шлюза нужно менять вручную, служба требует перезапуск, т.ч. сеансы пользователи сбрасываются

    3. по подписи старым сертификатом приложений ремотапп

    когда старый сертификат заканчивается, то начинает писать желтое окошко, что неизвестный издатель, но пускает на сервер

    если пересоздать приложения уже с новым сертификатом, то выскакивает синее окошко о неизвестном издатели, просто добавляем новый отпечаток в политике GPO

    20 февраля 2021 г. 6:42