Windows 10 Pro в качестве RDP-хоста с SSL-сертификатом. Как?

Я исчерпал свое терпение, пытаясь найти способ добавить SSL-сертификат на мой компьютер с Windows 10 Pro, чтобы, когда я подключаюсь из другого места, у меня не возникало ошибок сертификата.

Пока что каждое руководство, с которым я сталкиваюсь, в конечном итоге оказывается предназначенным для Windows Server.

Что я пробовал:

Я нажимаю кнопку “Пуск”, затем ввожу certlm.msc и нажимаю Enter.

Я помещаю свой приобретенный сертификат в папку Личное > Сертификаты на хост-машине И в папку Удаленный рабочий стол > Служба сертификатов.

Когда я пытаюсь переподключиться с другой машины, я все еще получаю ошибку доверия сертификата.

Кто-нибудь может помочь?

Снова, я пытаюсь сделать это на компьютере с Windows 10 Pro, а не на Windows Server.

На клиенте применяются те же правила. Вам нужно назначить сертификат конфигурации RDS. Например, с помощью PowerShell:

$path = (Get-WmiObject -class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices -Filter "TerminalName="RDP-tcp"").__path
Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash="THUMBPRINT"}

где THUMBPRINT – это отпечаток вашего сертификата. Эти команды должны выполняться в повышенной оболочке.

В PowerShell 6+ cmdlet WMI устарели в пользу cmdlet CIM. Эквивалент:

$RdpObj = (Get-CimInstance -ClassName "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices)
Set-CimInstance -CimInstance $RdpObj -Property @{SSLCertificateSHA1Hash="THUMBPRINT"}

Windows 11 Pro – Настройка SSL сертификата для удаленного рабочего стола

На основе статей: Конфигурации сертификатов слушателя удаленного рабочего стола и Rdpsign

1. Купите remote.example.com Сертификат RapidSSL® DV, предоставленный Digicert® из SSL Store

2. Используйте OpenSSL для генерации RSA закрытого ключа и запроса на подпись сертификата для remote.example.com

   openssl req -new -newkey rsa:4096 -nodes \
   -out /home/user1/remote_example_com_csr.txt \
   -keyout /home/user1/remote_example_com.key \
   -subj "/C=US/ST=Utah/L=Salt Lake City/O=Example, Inc./CN=remote.example.com"
   

3. Используйте файл запроса на подпись сертификата remote_example_com_csr.txt для генерации SSL сертификата в SSL Store

4. Проверьте право собственности на домен с помощью DNS записей:

   2.1 Создайте запись A, где Хост = remote.example.com и Значение = ВАШ_ПУБЛИЧНЫЙ_IPV4_АДРЕС

   2.2 Создайте запись TXT, где Хост = remote и Значение = hs8s67k8g2y57ptjtt34rfhn0wl7ys6f. Это предоставляется SSL Store для DNS-ориентированной проверки домена.

5. Используйте OpenSSL для объединения SSL сертификатов в файл PKCS #12.

   openssl pkcs12 -export \
   -out /home/user1/remote_example_com.pfx \
   -inkey /home/user1/remote_example_com.key \
   -in /home/user1/remote_example_com.crt \
   -certfile /home/user1/certificate.bundle
   

   Примечание: Вы будете запрошены ввести пароль для экспорта/импорта. Это поле можно оставить пустым, но по очевидным причинам его НЕЛЬЗЯ оставлять пустым.

   Введите пароль для экспорта:
   Подтверждение - введите пароль для экспорта:
   

6. Файл remote_example_com.pfx сохраняется в безопасное место.

7. Используйте certlm.msc для импорта файла PKCS #12 в хранилище Личное > Сертификат.

   Примечание: Перед тем как выполнять команды wmic, сертификат, который вы хотите использовать, должен быть импортирован в хранилище личных сертификатов локальной машины. Если вы не импортируете сертификат, вы получите ошибку Неверный параметр.

8. Меню “Пуск” > Введите certlm.msc и нажмите Enter.

9. Перейдите в хранилище Личное > Сертификаты.

10. Щелкните правой кнопкой мыши > Все задачи > Импорт…

11. Следуйте указаниям мастера для импорта SSL сертификата.

12. Дважды щелкните на SSL сертификате, нажмите вкладку Подробности, чтобы найти поле Отпечаток сертификата.

13. Скопируйте отпечаток в Блокнот.

    b363f15095137d374f78d11913a186c5c3ddd44c
    

14. С помощью командной строки от имени Администратора выполните следующую команду wmic вместе со значением отпечатка, которое вы получили на шаге 13.

    wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="b363f15095137d374f78d11913a186c5c3ddd44c"
    

15. Если успешно, будет показан следующий вывод.

    Обновление свойств...
    Обновление свойств прошло успешно.
    

Файл протокола удаленного рабочего стола (.rdp)

На основе статьи: Поддерживаемые параметры файлов RDP для удаленного рабочего стола

На основе статьи: mstsc

Создает подключения к серверам хостов сеансов удаленного рабочего стола или другим удаленным компьютерам и редактирует существующий файл конфигурации подключения к удаленному рабочему столу (.rdp).

Чтобы открыть новое соединение удаленного рабочего стола для редактирования:

mstsc

Чтобы подключиться из командной строки напрямую на порт 25301

mstsc /v:remote.example.com:25301

Примечание: Обычно ваш провайдер DNS-хостинга не позволяет устанавливать пользовательские порты для записи DNS A, созданной для remote.example.com. Чтобы устранить это ограничение, Настройка переадресации портов выполняется на вашем Беспроводном роутере.

Смотрите список TCP и UDP номеров портов в Википедии, чтобы убедиться, что вы выбираете порт, который не конфликтует с какой-либо существующей службой. Не используйте стандартный порт 3389 в качестве внешнего порта.

Чтобы отредактировать существующий файл remote_example_com.rdp

mstsc /edit remote_example_com.rdp

Подписание RDP

На основе статьи: Rdpsign

16. Цифровая подпись файла протокола удаленного рабочего стола .rdp.

rdpsign /sha256 f6f6622c5f0a8ad0b7fabf0f37e32bc4922172fb remote_example_com.rdp

Значение хеша представляет собой отпечаток сертификата SHA1, без пробелов.