jpolisher's IT-wiki

User Tools

Site Tools

Trace: сброс_grace-периода резервное_копирование_ghost синхронизация_времени назначение_прав_в_vsphere установка_1с_в_debian_linux проблемы_и_решения_ghost отключенные_почтовые_ящики деплой_образов коннекторы_подключения восстановление_пароля_ghost
замена_сертификатов_rdp_без_роли_rds

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
замена_сертификатов_rdp_без_роли_rds [2023/11/23 11:11] – created jpзамена_сертификатов_rdp_без_роли_rds [2024/11/01 10:05] (current) jp
Line 5: Line 5:
 Данные самоподписанные сертификаты можно найти в хранилище сертификатов компьютера, в папке //remote desktop//. Данные самоподписанные сертификаты можно найти в хранилище сертификатов компьютера, в папке //remote desktop//.
  
 +;#;
 {{::rdp_certs_location.jpg|}} {{::rdp_certs_location.jpg|}}
 +;#;
  
-Генерация и установка валидных сертификатов сама по себе автоматически не заставляет сервисы RDP их использовать. +Генерация и установка валидных сертификатов сама по себе автоматически не заставляет сервисы RDP их использовать. В документации MS есть несколько условий валидности установленных сертификатов RDP: 
 + 
 +<WRAP prewrap> 
 +<code> 
 +Certificates in Remote Desktop Services need to meet the following requirements: 
 + 
 +The certificate is installed in the local computer’s “Personal” certificate store. 
 + 
 +The certificate has a corresponding private key. 
 + 
 +The Enhanced Key Usage extension has a value of either “Server Authentication” or “Remote Desktop Authentication” (1.3.6.1.4.1.311.54.1.2). You can also use certificates with no Enhanced Key Usage extension. 
 +</code> 
 +</WRAP> 
 + 
 +После того, как мы установили изданный сертификат с поддержкой //Server Authentication// или //Remote Desktop Authentication// - необходимо отправть команду серверу RDP использовать сертификат с нужным отпечатком. 
 + 
 +В первую очередь выясним отпечаток следуюшим образом:  
 + 
 +<code> 
 +Set-Location Cert:\LocalMachine\my 
 +Get-ChildItem 
 +</code>  
 + 
 +Установим сертификат для использования:  
 + 
 +<WRAP prewrap> 
 +<code> 
 +wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="B4E058D98DA397B3AF46F391F605FDFB211BE91D" 
 +</code> 
 +</WRAP> 
 + 
 +:!: //Установку сертификата нужно производить из консоли, запущенной от имени админа.// \\ 
 +:!: //Перезапуск служб не требуется.// 
 + 
 +В случае успеха, получим сообщение: //Property(s) update successful.// 
 + 
 +Посмотреть используемый сертификат можно командой: 
 + 
 +<code> 
 +Get-WmiObject "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'" 
 +</code> 
 + 
 +:!: //Команды, связанные с WMI - не отрабатываются в PowerShell 7, только в PS5// 
 + 
 +{{tag>Microsoft TerminalServices WindowsServer Certificates PowerShell}}
замена_сертификатов_rdp_без_роли_rds.1700737875.txt.gz · Last modified: 2023/11/23 11:11 by jp