1. Для RDP нужно создать кастомный шаблон на основе шаблона “компьютер”.
2. В этом кастомном шаблоне на вкладке “расширения” нужно изменить опцию “политики применения”. Удаляем из нее проверку подлинности клиента и сервера и добавляем свою с именем “Remote Desktop Authentication” и следующим идентификатором: 1.3.6.1.4.1.311.54.1.2.

3. После создания и публикации шаблона нужно открыть оснастку с сертификатами mmc (для учетной записи компьютера) на терминальном сервере и запросить новый сертификат из раздела “личное”.
4. В запросе нужно выбрать шаблон, который мы создали и указать данные, как показано на скриншоте. Важно выбрать действующие DNS имена в поле “Служба DNS”. В случае, если мы создаем сертификат для терминальных серверов, находящихся в режиме балансировки нагрузки - нужно создавать сертификат для общего имени, куда мы подключаемся (имени фермы). Также, если вводим информацию о стране, то код страны должен состоять из двух букв, иначе будет ошибка. На вкладке “Общие” вводим понятное имя сертификата.

5. На сервере, где выполнялся запрос - сертификат будет уже установлен. Нужно, чтобы сертификат находился в папке “личное” учетной записи компьютера.
6. Для другого сервера, находящегося в ферме - нужно экспортировать созданный сертификат и установить его в папку “личное” учетной записи компьютера.
7. После установки сертификата его можно выбрать в свойствах конфигурации узла RDP.