1. В центре сертификации, в оснастке “шаблоны сертификатов” - создать копию шаблона “Компьютер”.

Примечание: из старого шаблона, созданного ещё давно для Windows 2008 R2, с указанием в политиках применения Remote Desktop Authentication - установка не прошла с ошибкой о том, что сертификат не соответствует необходимым требованиям, поэтому лучше создать новый шаблон даже, если уже есть созданный.

2. На вкладке “Совместимость” созданного щаблона - установить нужный уровень совместимости и на вкладке “Общие” - срок действия.

3. На вкладке “Обработка запроса” - отметить опцию “Расширить экспортировать закрытый ключ”.

4. На вкладке “Безопасность” - установить права на чтение и заявку для группы “Контроллеры домена”.

5. На вкладке “Расширения” в кнопке “Политики применения” оставить только “Проверка подлинности сервера”.

6. На вкладке “Имя субъекта” в случае, если мы хотим самостоятельно отправлять его в запросе - отметить “Предоставляется в запросе”. ВАЖНО: если оставить значение по умолчанию, или указать строить имя субъекта на основании данных Active Directory, с указанием DNS-имени, то настройщик сертификатов RD Connection Broker напишет об успехе импорта, но сам сертификат не применит.

7. В оснастке управления центром сертификации создать выдаваемый шаблон сертификатов на основе созданного ранее шаблона.

8. На одном из терминальных серверов из оснастки сертификатов - сделать запрос на выдачу сертификата по созданному шаблону. В запросе указать нужные данные и что самое важное - все имена, к которым будут подключаться клиенты терминальных серверов, включая отдельные сервера и имя фермы, как показано на скриншоте:

9. После выдачи сертификата необходимо экспортировать его с закрытым ключом. При экспорте, на всякий случай, убираем опцию “Включить конфиденциальность сертификата”.
10. Открываем оснастку управления RDP из диспетчера серверов на одном из серверов фермы, нажимаем “изменить свойства развёртвывания”, переходим к пункту “сертификаты” и добавляем выгруженный сертификат. Ошибок быть не должно: