none
Ошибка сертификатов при открытии web ресурсов на VM в ферме VDI 2019. RRS feed

  • Вопрос

  • VM подготовлена при помощи sysprep с параметрами sysprep /generalize /shutdown /oobe /mode:vm
    После создании шаблона для VDI 2019 и последующего развертывания виртуальных рабочих столов, в процессе использования браузера (Edge, IE, Firefox) - ошибка сертификата некоторых web-ресурсов, таких как “google.com”, “microsoft.com” и т.д.
    Прокси не используется.
    Подозрение падает на sysprep.
    В случае развертывания VM, без подготовки sysprep, из чистого образа, при тех же условиях работы сети, VM в домене, проблемы с сертификатами не наблюдаются.

    В процессе тестирования использовались различные выпуски, версии и сборки для VM:

    Windows 10 Pro, версия 2004, ENGLISH, RUSSIAN, сборка ОС 19041.804.
    Windows 10 Enterprise, версия 2004, ENGLISH, RUSSIAN, сборка ОС 19041.804.
    Windows 10 Pro, версия 2004, RUSSIAN, сборка ОС 19041.264.

    Проблема наблюдается при любом варианте.
    17 марта 2021 г. 6:27

Ответы

  • Привет,

    Скорее всего проблема описана внизу:

    SSL Certificate and Sysprep

    SSL connections will fail to an IIS server that has been sysprep'd. Windows sysprep will change the SIDs on all the existing accounts. This will effectively remove access to the private key for the IIS account i.e. Network Service. In order to restore it, you'll need to remove the certificate from IIS, delete the certificate from the certificate store, and import the certificate again.

    Также:

    This actually has nothing to do with Amazon and is caused by sysprep changing the machine SID which I believe affects the private key of the certificate rendering it invalid. You’ll need to remove the certificate and re-import.


    Make sure you have a backup certificate .pfx file or export it including the private key.
    Remove the certificate either through the Certificates MMC or in IIS Manager navigate to Server Certificates under the server-level object in the navigation pane, right click and remove.
    In the same area, right click and choose Import, browse for your backup pfx and enter the certificate password created during the CSR generation.
    Edit the https binding of your site, choose the SSL certificate from the dropdown.

    Мой совет обратиться на форум Windows 10, так как это проблема не с VDI:

    Windows 10


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    17 марта 2021 г. 8:56
    Владелец

Все ответы

  • Привет,

    Скорее всего проблема описана внизу:

    SSL Certificate and Sysprep

    SSL connections will fail to an IIS server that has been sysprep'd. Windows sysprep will change the SIDs on all the existing accounts. This will effectively remove access to the private key for the IIS account i.e. Network Service. In order to restore it, you'll need to remove the certificate from IIS, delete the certificate from the certificate store, and import the certificate again.

    Также:

    This actually has nothing to do with Amazon and is caused by sysprep changing the machine SID which I believe affects the private key of the certificate rendering it invalid. You’ll need to remove the certificate and re-import.


    Make sure you have a backup certificate .pfx file or export it including the private key.
    Remove the certificate either through the Certificates MMC or in IIS Manager navigate to Server Certificates under the server-level object in the navigation pane, right click and remove.
    In the same area, right click and choose Import, browse for your backup pfx and enter the certificate password created during the CSR generation.
    Edit the https binding of your site, choose the SSL certificate from the dropdown.

    Мой совет обратиться на форум Windows 10, так как это проблема не с VDI:

    Windows 10


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    17 марта 2021 г. 8:56
    Владелец
  • Найдено решение.

    1. Была создана VM без sysprep, введена в домен организации, после были экспортированы все сертификаты из хранилища "Доверенные корневые центры сертификации".

    2. Следующим этапом - подготавливался образ VM для VDI, были импортированы все сертификаты взятые с VM в предыдущем шаге, после чего был запущен sysprep, далее на ферме VDI разворачивалась VM уже из подготовленного образа.

    После проделанных действий проблем с сертификатами при открытии web-страниц  не наблюдается, пока что.

    12 апреля 2021 г. 11:31