원격 데스크톱 연결에 CA 인증서 사용


22

관리 상 필요에 따라 원격 데스크톱 연결을 통해 웹을 통해 원격 Windows Server 2012 R2에 연결하고 있습니다. AD 등이없는 단일 웹 및 데이터베이스 서버입니다.

원격 데스크톱 서비스 / 터미널 서버에 대해 이야기하는 것이 아니라 제어판> 시스템> 원격 설정을 통해 활성화 된 간단한 원격 데스크톱 기능입니다. 서버는 자동으로 자체 서명 된 인증서를 만들어 연결을 암호화하고 원격 데스크톱 연결 클라이언트는 신뢰할 수없는 CA로 인해 인증서 오류를 표시합니다.

이 서버의 FQDN에 발급 된 CA 서명 인증서가 있고 서버 인증에 유효합니다 (MSSQL Server 원격 액세스에 사용하고 있습니다).

RDP 연결에도 사용하고 싶습니다. 지금까지 찾은 모든 자습서 (이 질문 과 같은 )는 원격 데스크톱 서비스 또는 터미널 서비스에 대한 프로세스를 설명합니다. 인증서를 설정 하는 명령을 나타내는 이 질문 을 찾았 wmic지만 정확히 내가 무엇을하는지 모르는 경우 일부 값을 설정하려고하지 않습니다. 내가 한 것은 자동 생성 된 자체 서명이있는 로컬 컴퓨터의 원격 데스크톱 인증서에 추가하는 것입니다.

가능합니까? 그렇다면 어떻게해야합니까?

감사!

답변:


26

wmic인증서 지문 값을 설정하는 데 사용하는 언급 은 추가 기능 설치없이 작동 한다는 것을 알았습니다 . 나는 조금 더 자세히 여기 에서 비슷한 질문을 하고 대답했다 . 또한 wmic 명령에 해당하는 PowerShell이 ​​있습니다. 그러나 여기에 더 많은 설명을 추가하겠습니다.

MSSQL SSL에이 인증서를 이미 사용하고 있기 때문에 시스템의 인증서 저장소 중 하나에 이미 설치되어 있다고 가정합니다. MSSQL이 실행되고있는 서비스 계정의 컨텍스트에서 설치 한 경우 "로컬 컴퓨터"의 개인 또는 원격 데스크톱 저장소에도 설치해야 할 수 있습니다.
여기에 이미지 설명을 입력하십시오

일단 들어가면 이전 질문 의 명령 중 하나를 사용하여 SSLCertificateSHA1HashWin32_TSGeneralSetting을 가리 키도록 값 을 업데이트하면 됩니다.

현재 설정되어있는 값을 확인하고 자체 서명 된 인증서와 비교하려는 경우 wmic명령을 다음과 같이 변경할 수 있습니다 . 이를 사용하여 설정하려는 새 지문 값이 올바른지 확인할 수도 있습니다.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

출력은 다음과 같아야합니다.
여기에 이미지 설명을 입력하십시오


2
감사! 내가 매력처럼 작동, 내가 왜 원래의 Q / A를 처음부터 찾지 못했는지 모르겠다. 공표 할 충분한 담당자가 없지만 백 로그에 보관합니다.
marce

Windows 7 이상에서는 인증서를 "원격 데스크톱"저장소로 옮길 필요가 없습니다. "개인"인증서 저장소는 제대로 작동합니다.
André Borie

왼쪽 상단에 빨간색 도구 상자 아이콘이있는 스크린 샷의 응용 프로그램은 무엇입니까?
Kyle Humfeld

스냅인이라고하는 동일한 UI 구성으로 작성된 여러 미니 응용 프로그램을위한 일반 호스트 응용 프로그램 인 표준 Windows mmc.exe (Microsoft Management Console) 일뿐입니다. 스크린 샷에로드 된 스냅인은 인증서 스냅인입니다.
Ryan Bolger

2

원격 데스크톱 서비스 / 터미널 서비스를 참조하는 가이드는 기본 RDP 서비스를 실행하는 서버에도 적용됩니다. 동일한 서비스의 더 제한된 인스턴스 일뿐입니다.

이 가이드에서 누락 된 것은 서비스 관리 도구입니다. 서비스를 관리 할 수 ​​있도록 원격 데스크톱 서비스에 대한 역할 관리 도구를 설치하려고합니다.

Install-WindowsFeature -Name RSAT-RDS-Tools

1
이것은 2012R2이므로 Powershell Commandlet을 사용하여 인증서를 관리 할 수도 있습니다. Set-RDCertificate , Get-RDCertificate, Add-RDCertificate 등 Powershell을 통해이를 구성하기 위해 역할 관리 도구가 필요하지 않습니다.
Zoredache

@Zoredache 힌트 주셔서 감사합니다. Get-RDCertificate시작하기 위해 간단한 시도했지만 다음과 같은 오류가 발생했습니다. A Remote Desktop Services deployment does not exist on <FQDN>. This operation can be performed after creating a deployment.따라서 적어도 무언가를 설치해야합니까? @ShaneMadden이 제안한 기능을 계속 사용해야합니까?
marce

흠, 나는 실제로 그것을 시도하지 않았다. 방금 테스트 목적으로 데스크톱 서비스로 완전히 설정 한 2012R2 서버에서 실행 해 보았습니다. 나는 같은 오류가 발생하여 지금은 혼란 스러웠습니다.
Zoredache

@Zoredache 적어도 내가 아니에요 ... 글쎄, 나는 Install-WindowsFeature -Name RSAT-RDS-Tools다음을 시도하고 다시보고합니다.
marce

1
@ShaneMadden 올바른 방향을 가리키고 있지만 실제로는 전체 패키지가 필요합니다. 아마 당신은 올 사람들을 위해 그것을 반영하기 위해 당신의 답변을 업데이트 할 수 있습니다.
marce
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.