===== Генерация и установка сертификатов для служб RDP =====

=== Генерация и установка сертификата для служб RDP (Windows 2008 R2, без брокера подключений) ===

1. Для RDP нужно создать кастомный шаблон на основе шаблона "компьютер".\\ 
2. В этом кастомном шаблоне на вкладке "расширения" нужно изменить опцию "политики применения". Удаляем из нее проверку подлинности клиента и сервера и добавляем свою с именем "Remote Desktop Authentication" и следующим идентификатором: 1.3.6.1.4.1.311.54.1.2.\\

;#;
{{::cert_rdp2.jpg?400|}}
;#;

3. После создания и публикации шаблона нужно открыть оснастку с сертификатами mmc (для учетной записи компьютера) на терминальном сервере и запросить новый сертификат из раздела "личное".\\
4. В запросе нужно выбрать шаблон, который мы создали и указать данные, как показано на скриншоте. Важно выбрать действующие DNS имена в поле "Служба DNS". В случае, если мы создаем сертификат для терминальных серверов, находящихся в режиме балансировки нагрузки - нужно создавать сертификат для общего имени, куда мы подключаемся (имени фермы). Также, если вводим информацию о стране, то код страны должен состоять из двух букв, иначе будет ошибка. На вкладке "Общие" вводим понятное имя сертификата.\\ 

;#;
{{::cert_req.jpg?400|}}
;#;

5. На сервере, где выполнялся запрос - сертификат будет уже установлен. Нужно, чтобы сертификат находился в папке "личное" учетной записи компьютера.\\
6. Для другого сервера, находящегося в ферме - нужно экспортировать созданный сертификат и установить его в папку "личное" учетной записи компьютера.\\
7. После установки сертификата его можно выбрать в свойствах конфигурации узла RDP.\\ 

;#;
{{::cert_inst_rdp.jpg?400|}}
;#;

{{tag>Microsoft TerminalServices WindowsServer Certificates ADCS PKI}}