| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| работа_с_сертификатами [2022/10/27 13:02] – jp | работа_с_сертификатами [2022/10/27 13:13] (current) – jp |
|---|
| ===== Работа с сертификатами ===== | ===== Работа с сертификатами ===== |
| |
| === Генерация и установка сертификата для служб RDP (Windows 2008 R2, без брокера подключений) === | |
| |
| 1. Для RDP нужно создать кастомный шаблон на основе шаблона "компьютер".\\ | |
| 2. В этом кастомном шаблоне на вкладке "расширения" нужно изменить опцию "политики применения". Удаляем из нее проверку подлинности клиента и сервера и добавляем свою с именем "Remote Desktop Authentication" и следующим идентификатором: 1.3.6.1.4.1.311.54.1.2.\\ | |
| |
| {{::cert_rdp2.jpg?400|}} | |
| |
| 3. После создания и публикации шаблона нужно открыть оснастку с сертификатами mmc (для учетной записи компьютера) на терминальном сервере и запросить новый сертификат из раздела "личное".\\ | |
| 4. В запросе нужно выбрать шаблон, который мы создали и указать данные, как показано на скриншоте. Важно выбрать действующие DNS имена в поле "Служба DNS". В случае, если мы создаем сертификат для терминальных серверов, находящихся в режиме балансировки нагрузки - нужно создавать сертификат для общего имени, куда мы подключаемся (имени фермы). Также, если вводим информацию о стране, то код страны должен состоять из двух букв, иначе будет ошибка. На вкладке "Общие" вводим понятное имя сертификата.\\ | |
| |
| {{::cert_req.jpg?400|}} | |
| |
| 5. На сервере, где выполнялся запрос - сертификат будет уже установлен. Нужно, чтобы сертификат находился в папке "личное" учетной записи компьютера.\\ | |
| 6. Для другого сервера, находящегося в ферме - нужно экспортировать созданный сертификат и установить его в папку "личное" учетной записи компьютера.\\ | |
| 7. После установки сертификата его можно выбрать в свойствах конфигурации узла RDP.\\ | |
| |
| {{::cert_inst_rdp.jpg?400|}} | |
| |
| |
| === Генерация и установка сертификата для RD connection-broker фермы терминальных серверов (Windows Server 2019) === | |
| |
| 1. В центре сертификации, в оснастке "шаблоны сертификатов" - создать копию шаблона "Компьютер".\\ | |
| |
| ''Примечание: из старого шаблона, созданного ещё давно для Windows 2008 R2, с указанием в политиках применения Remote Desktop Authentication - установка не прошла с ошибкой о том, что сертификат не соответствует необходимым требованиям, поэтому лучше создать новый шаблон даже, если уже есть созданный''. | |
| |
| 2. На вкладке "Совместимость" созданного щаблона - установить нужный уровень совместимости и на вкладке "Общие" - срок действия.\\ | |
| 3. На вкладке "Обработка запроса" - отметить опцию "Расширить экспортировать закрытый ключ".\\ | |
| 4. На вкладке "Безопасность" - установить права на чтение и заявку для группы "Контроллеры домена".\\ | |
| 5. На вкладке "Расширения" в кнопке "Политики применения" оставить только "Проверка подлинности сервера".\\ | |
| 6. На вкладке "Имя субъекта" в случае, если мы хотим самостоятельно отправлять его в запросе - отметить "Предоставляется в запросе". ВАЖНО: если оставить значение по умолчанию, или указать строить имя субъекта на основании данных Active Directory, с указанием DNS-имени, то настройщик сертификатов RD Connection Broker напишет об успехе импорта, но сам сертификат не применит.\\ | |
| 7. В оснастке управления центром сертификации создать выдаваемый шаблон сертификатов на основе созданного ранее шаблона.\\ | |
| 8. На одном из терминальных серверов из оснастки сертификатов - сделать запрос на выдачу сертификата по созданному шаблону. В запросе указать нужные данные и что самое важное - все имена, к которым будут подключаться клиенты терминальных серверов, включая отдельные сервера и имя фермы, как показано на скриншоте:\\ | |
| |
| {{::cert_request_termfarm2019.jpg?400|}} | |
| |
| 9. После выдачи сертификата необходимо экспортировать его с закрытым ключом. При экспорте, на всякий случай, убираем опцию "Включить конфиденциальность сертификата".\\ | |
| 10. Открываем оснастку управления RDP из диспетчера серверов на одном из серверов фермы, нажимаем "изменить свойства развёртвывания", переходим к пункту "сертификаты" и добавляем выгруженный сертификат. Ошибок быть не должно:\\ | |
| |
| {{::cert_ok_termfarm2019.jpg?400|}} | |
| |
| {{tag>Certificates Apache IIS Windows WindowsServer PKI Exchange SSL ADCS}} | |
