jpolisher's IT-wiki

User Tools

Site Tools

Trace:
генерация_сертификатов_для_служб_rdp

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
генерация_сертификатов_для_служб_rdp [2024/11/01 10:04] – removed - external edit (Unknown date) 127.0.0.1генерация_сертификатов_для_служб_rdp [2024/11/01 10:04] (current) – ↷ Page name changed from генерация_и_установка_сертификатов_для_служб_rdp to генерация_сертификатов_для_служб_rdp jp
Line 1: Line 1:
 +===== Генерация и установка сертификатов для служб RDP =====
  
 +=== Генерация и установка сертификата для служб RDP (Windows 2008 R2, без брокера подключений) ===
 +
 +1. Для RDP нужно создать кастомный шаблон на основе шаблона "компьютер".\\ 
 +2. В этом кастомном шаблоне на вкладке "расширения" нужно изменить опцию "политики применения". Удаляем из нее проверку подлинности клиента и сервера и добавляем свою с именем "Remote Desktop Authentication" и следующим идентификатором: 1.3.6.1.4.1.311.54.1.2.\\
 +
 +;#;
 +{{::cert_rdp2.jpg?400|}}
 +;#;
 +
 +3. После создания и публикации шаблона нужно открыть оснастку с сертификатами mmc (для учетной записи компьютера) на терминальном сервере и запросить новый сертификат из раздела "личное".\\
 +4. В запросе нужно выбрать шаблон, который мы создали и указать данные, как показано на скриншоте. Важно выбрать действующие DNS имена в поле "Служба DNS". В случае, если мы создаем сертификат для терминальных серверов, находящихся в режиме балансировки нагрузки - нужно создавать сертификат для общего имени, куда мы подключаемся (имени фермы). Также, если вводим информацию о стране, то код страны должен состоять из двух букв, иначе будет ошибка. На вкладке "Общие" вводим понятное имя сертификата.\\ 
 +
 +;#;
 +{{::cert_req.jpg?400|}}
 +;#;
 +
 +5. На сервере, где выполнялся запрос - сертификат будет уже установлен. Нужно, чтобы сертификат находился в папке "личное" учетной записи компьютера.\\
 +6. Для другого сервера, находящегося в ферме - нужно экспортировать созданный сертификат и установить его в папку "личное" учетной записи компьютера.\\
 +7. После установки сертификата его можно выбрать в свойствах конфигурации узла RDP.\\ 
 +
 +;#;
 +{{::cert_inst_rdp.jpg?400|}}
 +;#;
 +
 +{{tag>Microsoft TerminalServices WindowsServer Certificates ADCS PKI}}