我有一台 Windows 8.1 机器,我通过 RDP 连接到公共 IP(也受 2FA 保护)。我收到 PCI 扫描失败,因为 Windows 为 RDP 创建的默认 SSL 证书使用的是 SHA1 哈希。
因此,我获得了官方证书(SAH256,通配符),并将其导入到本地计算机的个人证书中 + 添加了 SSLCertificateSHA1Hash 注册表值(均按https://support.microsoft.com/en-us/kb/2001849,尽管这是针对 Windows 7 的)。请注意,我没有看到如何执行最后一步(设置 RDS 使用的密钥文件的 ACL 以包含 NETWORK SERVICE),因为针对 Windows 7 的说明不适用于 Windows 8。
此后,我一开始根本无法连接。然后当我再次尝试时,我可以连接,但它仍在使用其自动生成的证书。在事件日志中,我看到以下内容:
The RD Session Host Server is configured to use a certificate but is unable
to access the private key associated with this certificate. The name on this
certificate is *.acme.com. The SHA1 hash of the certificate is in the event
data. The default certificate will be used for RD Session Host Server
authentication from now on. Please check the security settings by using the
Remote Desktop Session Host Configuration tool in the Administrative Tools
folder.
也许所需要的只是为密钥文件设置 ACL,但我可以使用一些帮助......
或者更广泛地说:如何让 Windows(8.1)对 RDP 使用官方 SSL 证书?
答案1
RD 会话主机服务器配置为使用证书,但无法访问与该证书关联的私钥。
打开 MMC
文件添加/删除管理单元
添加证书
对于计算机帐户
在本地计算机上
导航到您的证书
右键单击,所有任务,管理私钥
授予 RD 服务用户对私钥的读取权限
然后设置 RD 再次使用您的证书,并尝试。
答案2
我让它工作了。
问题是我只导入了 .cer 文件(该文件不包含私钥,因此没有“管理私钥”选项)。在我生成 .pfx 文件并导入该证书后,管理密钥的选项出现了,并且这里的说明工作正常:https://support.microsoft.com/en-us/kb/2001849。