jpolisher's IT-wiki

User Tools

Site Tools

Trace: сертификаты_для_rd_connection-broker_фермы импорт_писем_из_pst_в_exchange общие_полезные_команды_ps настройки_дополнительных_протоколов опции_загрузки_esxi бэкап_и_восстановление_бд_средствами_postgresql установка_роли_adfs отключение_обновлений_для_пользователей автоматизированный_запрос_к_цс_из_powershell замена_сертификатов_rdp_без_роли_rds
работа_с_сертификатами

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
работа_с_сертификатами [2022/10/27 13:09] jpработа_с_сертификатами [2022/10/27 13:13] (current) jp
Line 1: Line 1:
 ===== Работа с сертификатами ===== ===== Работа с сертификатами =====
  
-=== Генерация и установка сертификата для RD connection-broker фермы терминальных серверов (Windows Server 2019) === 
  
-1. В центре сертификации, в оснастке "шаблоны сертификатов" - создать копию шаблона "Компьютер".\\ 
- 
-''Примечание: из старого шаблона, созданного ещё давно для Windows 2008 R2, с указанием в политиках применения Remote Desktop Authentication - установка не прошла с ошибкой о том, что сертификат не соответствует необходимым требованиям, поэтому лучше создать новый шаблон даже, если уже есть созданный'' 
- 
-2. На вкладке "Совместимость" созданного щаблона - установить нужный уровень совместимости и на вкладке "Общие" - срок действия.\\ 
-3. На вкладке "Обработка запроса" - отметить опцию "Расширить экспортировать закрытый ключ".\\ 
-4. На вкладке "Безопасность" - установить права на чтение и заявку для группы "Контроллеры домена".\\ 
-5. На вкладке "Расширения" в кнопке "Политики применения" оставить только "Проверка подлинности сервера".\\ 
-6. На вкладке "Имя субъекта" в случае, если мы хотим самостоятельно отправлять его в запросе - отметить "Предоставляется в запросе". ВАЖНО: если оставить значение по умолчанию, или указать строить имя субъекта на основании данных Active Directory, с указанием DNS-имени, то настройщик сертификатов RD Connection Broker напишет об успехе импорта, но сам сертификат не применит.\\ 
-7. В оснастке управления центром сертификации создать выдаваемый шаблон сертификатов на основе созданного ранее шаблона.\\ 
-8. На одном из терминальных серверов из оснастки сертификатов - сделать запрос на выдачу сертификата по созданному шаблону. В запросе указать нужные данные и что самое важное - все имена, к которым будут подключаться клиенты терминальных серверов, включая отдельные сервера и имя фермы, как показано на скриншоте:\\  
- 
-{{::cert_request_termfarm2019.jpg?400|}} 
- 
-9. После выдачи сертификата необходимо экспортировать его с закрытым ключом. При экспорте, на всякий случай, убираем опцию "Включить конфиденциальность сертификата".\\ 
-10. Открываем оснастку управления RDP из диспетчера серверов на одном из серверов фермы, нажимаем "изменить свойства развёртвывания", переходим к пункту "сертификаты" и добавляем выгруженный сертификат. Ошибок быть не должно:\\ 
- 
-{{::cert_ok_termfarm2019.jpg?400|}} 
- 
-{{tag>Certificates Apache IIS Windows WindowsServer PKI Exchange SSL ADCS}} 
работа_с_сертификатами.1666876191.txt.gz · Last modified: 2022/10/27 13:09 by jp