Differences

This shows you the differences between two versions of the page.

View differences: Side by SideInline Go

Link to this comparison view

2024/11/01 10:05 jp 2023/11/23 11:22 jp 2023/11/23 11:22 jp 2023/11/23 11:21 jp 2023/11/23 11:20 jp 2023/11/23 11:20 jp 2023/11/23 11:19 jp 2023/11/23 11:17 jp 2023/11/23 11:15 jp 2023/11/23 11:13 jp 2023/11/23 11:11 jp createdGo Next revision		Previous revision 2024/11/01 10:05 jp 2023/11/23 11:22 jp 2023/11/23 11:22 jp 2023/11/23 11:21 jp 2023/11/23 11:20 jp 2023/11/23 11:20 jp 2023/11/23 11:19 jp 2023/11/23 11:17 jp 2023/11/23 11:15 jp 2023/11/23 11:13 jp 2023/11/23 11:11 jp createdGo
замена_сертификатов_rdp_без_роли_rds [2023/11/23 11:11] – created jp		замена_сертификатов_rdp_без_роли_rds [2024/11/01 10:05] (current) – jp
Line 5:		Line 5:
	Данные самоподписанные сертификаты можно найти в хранилище сертификатов компьютера, в папке //remote desktop//.		Данные самоподписанные сертификаты можно найти в хранилище сертификатов компьютера, в папке //remote desktop//.
		+	;#;
	{{::rdp_certs_location.jpg|}}		{{::rdp_certs_location.jpg|}}
		+	;#;
-	Генерация и установка валидных сертификатов сама по себе автоматически не заставляет сервисы RDP их использовать.	+	Генерация и установка валидных сертификатов сама по себе автоматически не заставляет сервисы RDP их использовать. В документации MS есть несколько условий валидности установленных сертификатов RDP:
		+
		+	<WRAP prewrap>
		+	<code>
		+	Certificates in Remote Desktop Services need to meet the following requirements:
		+
		+	The certificate is installed in the local computer’s “Personal” certificate store.
		+
		+	The certificate has a corresponding private key.
		+
		+	The Enhanced Key Usage extension has a value of either “Server Authentication” or “Remote Desktop Authentication” (1.3.6.1.4.1.311.54.1.2). You can also use certificates with no Enhanced Key Usage extension.
		+	</code>
		+	</WRAP>
		+
		+	После того, как мы установили изданный сертификат с поддержкой //Server Authentication// или //Remote Desktop Authentication// - необходимо отправть команду серверу RDP использовать сертификат с нужным отпечатком.
		+
		+	В первую очередь выясним отпечаток следуюшим образом:
		+
		+	<code>
		+	Set-Location Cert:\LocalMachine\my
		+	Get-ChildItem
		+	</code>
		+
		+	Установим сертификат для использования:
		+
		+	<WRAP prewrap>
		+	<code>
		+	wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="B4E058D98DA397B3AF46F391F605FDFB211BE91D"
		+	</code>
		+	</WRAP>
		+
		+	:!: //Установку сертификата нужно производить из консоли, запущенной от имени админа.// \\
		+	:!: //Перезапуск служб не требуется.//
		+
		+	В случае успеха, получим сообщение: //Property(s) update successful.//
		+
		+	Посмотреть используемый сертификат можно командой:
		+
		+	<code>
		+	Get-WmiObject "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName='RDP-tcp'"
		+	</code>
		+
		+	:!: //Команды, связанные с WMI - не отрабатываются в PowerShell 7, только в PS5//
		+
		+	{{tag>Microsoft TerminalServices WindowsServer Certificates PowerShell}}