This is an old revision of the document!
Работа с сертификатами
Конвертация файла PFX (сертификат+ключ в формат, подходящий для Apache)
sudo openssl pkcs12 -in domain.pfx -clcerts -nokeys -out domain.cer sudo openssl pkcs12 -in domain.pfx -nocerts -nodes -out domain.key
Генерация и установка сертификата для служб RDP (Windows 2008 R2, без брокера подключений)
1. Для RDP нужно создать кастомный шаблон на основе шаблона “компьютер”.
2. В этом кастомном шаблоне на вкладке “расширения” нужно изменить опцию “политики применения”. Удаляем из нее проверку подлинности клиента и сервера и добавляем свою с именем “Remote Desktop Authentication” и следующим идентификатором: 1.3.6.1.4.1.311.54.1.2.
3. После создания и публикации шаблона нужно открыть оснастку с сертификатами mmc (для учетной записи компьютера) на терминальном сервере и запросить новый сертификат из раздела “личное”.
4. В запросе нужно выбрать шаблон, который мы создали и указать данные, как показано на скриншоте. Важно выбрать действующие DNS имена в поле “Служба DNS”. В случае, если мы создаем сертификат для терминальных серверов, находящихся в режиме балансировки нагрузки - нужно создавать сертификат для общего имени, куда мы подключаемся (имени фермы). Также, если вводим информацию о стране, то код страны должен состоять из двух букв, иначе будет ошибка. На вкладке “Общие” вводим понятное имя сертификата.
5. На сервере, где выполнялся запрос - сертификат будет уже установлен. Нужно, чтобы сертификат находился в папке “личное” учетной записи компьютера.
6. Для другого сервера, находящегося в ферме - нужно экспортировать созданный сертификат и установить его в папку “личное” учетной записи компьютера.
7. После установки сертификата его можно выбрать в свойствах конфигурации узла RDP.
Генерация и установка сертификата для RD connection-broker фермы терминальных серверов (Windows Server 2019)
1. В центре сертификации, в оснастке “шаблоны сертификатов” - создать копию шаблона “Компьютер”.
Примечание: из старого шаблона, созданного ещё давно для Windows 2008 R2, с указанием в политиках применения Remote Desktop Authentication - установка не прошла с ошибкой о том, что сертификат не соответствует необходимым требованиям, поэтому лучше создать новый шаблон даже, если уже есть созданный.
2. На вкладке “Совместимость” созданного щаблона - установить нужный уровень совместимости и на вкладке “Общие” - срок действия.
3. На вкладке “Обработка запроса” - отметить опцию “Расширить экспортировать закрытый ключ”.
4. На вкладке “Безопасность” - установить права на чтение и заявку для группы “Контроллеры домена”.
5. На вкладке “Расширения” в кнопке “Политики применения” оставить только “Проверка подлинности сервера”.
6. На вкладке “Имя субъекта” в случае, если мы хотим самостоятельно отправлять его в запросе - отметить “Предоставляется в запросе”. ВАЖНО: если оставить значение по умолчанию, или указать строить имя субъекта на основании данных Active Directory, с указанием DNS-имени, то настройщик сертификатов RD Connection Broker напишет об успехе импорта, но сам сертификат не применит.
7. В оснастке управления центром сертификации создать выдаваемый шаблон сертификатов на основе созданного ранее шаблона.
8. На одном из терминальных серверов из оснастки сертификатов - сделать запрос на выдачу сертификата по созданному шаблону. В запросе указать нужные данные и что самое важное - все имена, к которым будут подключаться клиенты терминальных серверов, включая отдельные сервера и имя фермы, как показано на скриншоте:
9. После выдачи сертификата необходимо экспортировать его с закрытым ключом. При экспорте, на всякий случай, убираем опцию “Включить конфиденциальность сертификата”.
10. Открываем оснастку управления RDP из диспетчера серверов на одном из серверов фермы, нажимаем “изменить свойства развёртвывания”, переходим к пункту “сертификаты” и добавляем выгруженный сертификат. Ошибок быть не должно:
